﻿pentru Windows Server și Windows PENTRU PROFESIONISTI O'REILLY(r) R^PPTER Robbie Allen Cuvânt înainte de Gil Kirkpatrick Cartea de bucate Active Directory pentru Windows Server & Windows Robbie Allen Cuvânt înainte de Gil Kirkpatrick O'REILLY* Beijing • Cambridge • Famham • Koln • Paris • Sebaslopol • Taipei • Tokyo Director activ Carte de bucate pentru Windows Server și Windows PENTRU PROFESIONISTI Robbie Allen Cuvânt înainte de Gil Kirkpatrick PETRU* Moscova • Sankt Petersburg - Nijni Novgorod • Voronezh Rostov-pe-Don • Ekaterinburg • Samara Kiev - Harkov • Minsk BBK - UDC A Allen R A Active Directory Culegere de retete Pentru profesionisti - Sankt Petersburg: Peter, Kiev: VHV Publishing Group, - p : ill ISBN - - -X Cartea conține câteva sute de instrucțiuni detaliate pentru îndeplinirea sarcinilor tipice și relativ rare cu care se confruntă administratorii Active Director}' Iată soluții legate de utilizarea LDAP - protocolul de interfață de bază al Active Directory - gestionarea replicării, asigurarea interacțiunii eficiente cu serviciul de nume de domeniu DNS, configurarea politicii de grup, gestionarea schemei Active Directory etc Fiecare rețetă propusă este însoțită de explicații detaliate, precum că a fost ușor de adaptat pentru a rezolva alte probleme similare Cartea este destinată administratorilor Active Directory, precum și programatorilor care lucrează cu acest serviciu de director Vă va ajuta să rezolvați aproape orice problemă pe care o puteți întâlni în timp ce rulați Active Directory pe Windows Server și Windows BBK - UDC Drepturi de publicare obținute prin acord cu O Re I / Toate drepturile rezervate Nicio parte a acestei cărți nu poate fi reprodusă sub nicio formă fără permisiunea scrisă a deținătorilor drepturilor de autor Informațiile conținute în această carte au fost obținute din surse considerate de încredere de către editor Totuși, din cauza unor posibile erori umane sau tehnice, editorul nu poate garanta acuratețea și caracterul complet al informațiilor furnizate și nu este responsabil pentru eventualele erori asociate cu utilizarea cărții ISBN ISBN - - -X (c) O'Reilly & Associates, Inc (c) Editura CJSC Piter, rezumat Cuvânt înainte Introducere Capitolul Recomandări generale Capitolul : Păduri și domenii, relații de încredere Capitolul Controlere de domeniu, cataloage globale și roluri capitolul Capitolul Diviziunile Capitolul Utilizatori Capitolul Grupuri Capitolul Calculatoare Capitolul Obiectele politicii de grup Capitolul Schema Active Directory Capitolul Topologia rețelei Capitolul Replicare Capitolul Sistemul de nume de domeniu Capitolul Securitate și autentificare Capitolul Înregistrare, monitorizare și cote Capitolul : Copiere de rezervă și restaurare a unui director, obiecte la distanță Capitolul Secțiuni de aplicație Capitolul Aplicație Lista instrumentelor Index alfabetic Conţinut Cuvânt înainte Introducere Cititori Conținutul cărții Convenții utilizate în carte Feedback Mulțumiri De la editorul traducerii Capitolul Recomandări generale Structura cărții Unde să cauți instrumentele folosite în carte Introducere în LDIF Programare Text înlocuit Surse suplimentare de informare Capitolul Păduri și domenii, relații de încredere Introducere Crearea unei păduri Ștergerea unei păduri Crearea unui domeniu Ștergerea unui domeniu Ștergerea unui domeniu care nu are controlere Găsirea domeniilor în pădure Determinarea numelui de domeniu NetBIOS Redenumirea domeniului Schimbarea modului funcțional al domeniului Pregătirea unui domeniu sau pădure pentru tranziția la modul Windows Server folosind programul adprep Cum să verificați dacă comanda adprep a avut succes Verificarea gradului de pregătire a unui controler de domeniu Windows pentru a trece la Windows Server Conţinut Actualizarea nivelului funcțional Forest la Windows Server Stabilirea relațiilor de încredere între domeniile Windows NT și Active Directory Crearea unei încrederi tranzitive între două păduri Active Directory Creați o încredere redusă între două domenii Active Directory Stabilirea Kerberos Realm Trust Vizualizarea trusturilor de domeniu Verificarea relației de încredere Reinstalarea unei relații de încredere Înlăturarea unei încrederi Utilizarea filtrarii SID Căutarea unui domeniu pentru coduri de securitate duplicate Capitolul Controlere de domeniu, cataloage globale și roluri Introducere Promovarea unui server la un controler de domeniu Promovarea unui server la un controler de domeniu folosind o copie a conținutului directorului Retrogradarea unui controler de domeniu Automatizați procesul de creare a unui controler de domeniu și retrogradarea rolului său Rezolvarea problemelor legate de crearea controlerului de domeniu și retrogradarea rolului său Eliminați controlerul de domeniu care este retrogradat a eșuat Redenumirea unui controler de domeniu Obținerea unei liste de controlere de domeniu pentru un domeniu specificat Găsirea celui mai apropiat controler de domeniu Găsirea unui site de controler de domeniu Mutarea unui controler de domeniu pe un alt site Obținerea informațiilor despre serviciile furnizate de un controler de domeniu Configurarea controlerului de domeniu pentru utilizare sursă de timp externă Determinarea numărului de încercări de conectare pe un controler de domeniu Folosind comutatorul / GB pentru a mări dimensiunea memoriei cache LSASS Eliminarea obiectelor DLT Activarea și dezactivarea catalogului global Confirmarea că catalogul global a fost activat cu succes Găsirea serverelor de catalog globale în pădure Căutați controlere de domeniu sau servere de catalog global, incluse în site Găsirea controlerelor de domeniu și a serverelor de catalog global prin DNS Conţinut Dezactivarea cerinței de disponibilitate a serverului de catalog global atunci când vă conectați la un domeniu Windows Dezactivarea cerinței de disponibilitate a serverului de catalog global la conectarea la un domeniu Windows Server Găsirea maeștrilor de operație Transferul rolului FSMO Atribuirea rolului FSMO Găsirea emulatorului PDC prin DNS capitolul Introducere Obținerea informațiilor despre obiectul RootDSE Vizualizarea valorilor atributelor obiectului Utilizarea obiectelor de control LDAP Utilizarea legăturii rapide și paralele Găsirea obiectelor într-un domeniu Căutarea în catalogul global Găsirea unui număr mare de obiecte Căutarea valorii atributelor compuse Căutarea cu un filtru pe biți Crearea unui obiect Modificarea valorilor atributelor obiectului Modificarea valorii unui atribut care conţine steaguri de biţi Conectarea dinamică a claselor personalizate Crearea unui obiect dinamic Actualizarea unui obiect dinamic Schimbați timpul implicit de viață obiecte dinamice Mutarea unui obiect într-o altă OU sau container Mutarea unui obiect într-un alt domeniu Redenumirea unui obiect Ștergerea unui obiect Scoaterea unui container cu obiecte copil Vizualizarea timpului de creare și de ultima modificare a unui obiect Modificarea politicii implicite de interogare LDAP Exportarea obiectelor într-un fișier LDIF Importarea obiectelor dintr-un fișier LDIF Exportarea obiectelor într-un fișier CSV Importarea obiectelor dintr-un fișier CSV Capitolul Diviziunile Introducere Crearea unui departament Vizualizarea unei liste de containere pentru un domeniu specificat Conţinut Vizualizarea unei liste de obiecte dintr-un departament specificat Eliminarea obiectelor dintr-o subdiviziune Ștergerea unei subdiviziuni Mutarea obiectelor între departamente Mutarea unei unități Determinarea numărului de obiecte copil dintr-o unitate organizatorică Delegarea Funcţiilor de Conducere Departamentală Acordați permisiunea de a crea OU-uri în containere Asocierea unui GPO cu un Container Capitolul Utilizatori Introducere Crearea unui cont de utilizator Crearea unui număr mare de conturi de utilizator Crearea unui obiect inetOrgPerson Setarea simultană a unei valori de atribut pentru mai mulți utilizatori Mutarea unui cont de utilizator Schimbarea numelui de utilizator Copierea unui cont de utilizator Deblocarea unui cont de utilizator Căutarea conturilor de utilizator blocate Rezolvarea problemelor de blocare a contului Vedeți politicile de blocare a contului de domeniu și gestionarea parolelor Activarea și dezactivarea unui cont de utilizator Găsirea conturilor de utilizator dezactivate Vizualizarea informațiilor despre apartenența la grupul unui utilizator Modificarea grupului primar al unui utilizator Includeți un utilizator în toate grupurile din care este membru alt utilizator Determinarea parolei utilizatorului Setarea unei parole de utilizator utilizând LDAP Setarea unei parole de utilizator utilizând Kerberos Împiedicarea modificării parolei de către utilizator Schimbarea parolei utilizatorului la următoarea autentificare Eliminarea restricțiilor de expirare a parolei Căutați conturi de utilizator ale căror parole vor deveni în curând invalid Setarea opțiunilor contului de utilizator Setarea datei de expirare a contului Găsirea conturilor care sunt pe cale să expire Determinarea ultimei conectări a unui utilizator Conţinut Căutați conturi de utilizator care nu sunt conectate într-un anumit timp Setarea opțiunilor profilului utilizator Obțineți o listă de obiecte deținute de un utilizator specificat Schimbarea numelui afișat al utilizatorului Creați un sufix UPN pentru o pădure Capitolul Grupuri Introducere Crearea unui grup Vizualizarea unei liste de membri imediati ai unui grup Vizualizarea unei liste de membri indirecti ai unui grup Adăugarea și eliminarea membrilor unui grup Mutarea unui grup Modificarea domeniului de aplicare și a tipului unui grup Delegarea managementului apartenenței la grup Determinarea numelui de grup primar al unui utilizator Memorarea în cache a informațiilor despre apartenența la grupuri universale Capitolul Calculatoare Introducere Crearea unui obiect computer Crearea unui obiect computer pentru un anumit utilizator sau grup Conectarea unui computer la un domeniu Mutarea obiectului computer Redenumirea unui computer Testarea canalului securizat al unui computer Resetarea contului de computer Găsirea computerelor inactive sau neutilizate Modificarea numărului maxim de computere la care un utilizator se poate alătura unui domeniu Căutați conturi de computer care rulează rulează un anumit sistem de operare Link către containerul implicit pentru stocarea obiectelor computerului Înlocuirea computerului implicit al containerului de obiecte Capitolul Obiecte de politică de grup , Introducere Găsirea unui obiect de politică de grup într-un domeniu Crearea unui GPO Copierea unui obiect de politică de grup Ștergerea unui obiect de politică de grup Vizualizarea setărilor obiectului de politică de grup Continutul Modificarea preferințelor obiectului politicii de grup Importarea preferințelor obiectului politicii de grup Includerea de scripturi într-un obiect de politică de grup Instalarea aplicaţiilor utilizând un obiect de politică de grup Dezactivați Setările utilizator sau computer într-un obiect de politică de grup Listarea legăturilor obiectelor de politică de grup Conectarea unui GPO la un domeniu de management Blocarea moștenirii politicii de grup pentru o unitate organizațională Filtrarea obiectelor care fac obiectul unei acțiuni Obiect de politică de grup Crearea unui filtru WMI Asocierea unui filtru WMI cu un GPO Copierea de rezervă a unui obiect de politică de grup Restaurarea unui obiect de politică de grup Emularea politicii rezultate Vizualizarea politicii rezultate Actualizarea politicilor de grup ale unui computer Restaurarea politicii implicite Capitolul Schema Active Directory Introducere Înregistrarea snap-in-ului Schema Active Directory Modificați permisiunea de schemă Obținerea OID-ului pentru o clasă sau un atribut nou Generarea unui GUID pentru o clasă sau un atribut nou Extensie de schemă Documentarea extensiilor de schemă Adăugarea unui nou atribut Vizualizarea proprietăților atributelor Adăugarea unei noi clase Vizualizarea atributelor clasei Indexarea atributelor Selectați atributele de copiat cu contul de utilizator Selectarea atributelor pentru căutarea ANR Adăugarea sau eliminarea unui atribut din catalogul global Găsirea atributelor nereplicate și calculate Găsirea atributelor înrudite Căutați clase structurale, abstracte și speciale, precum şi clase de tip Găsirea atributelor clasei Editarea setărilor de securitate ale clasei Dezactivarea claselor și atributelor Conţinut Suprascrierea claselor și a atributelor Reîncărcarea schemei Capitolul Topologia rețelei Introducere Dezvoltarea site-ului web Afișarea listei de site-uri Ștergerea unui site Crearea unei subrețele Listarea subrețelelor Căutarea subrețelelor care nu sunt asociate cu un site Crearea unui link de site Găsirea legăturilor către un site specificat Modificarea setului de site-uri conectate printr-un link specificat Modificarea costurilor link-urilor site-ului Dezactivarea programărilor și a tranzitivității legăturilor Crearea unui pod de legătură cu site-ul Găsirea serverelor Bridgehead Selectarea serverului Beachhead preferat al unui site Listarea serverelor Mutarea unui controler de domeniu pe un alt site Propagarea domeniului controlerului de domeniu pe mai multe site-uri Vizualizați o listă de site-uri acoperite de domeniul controlerului de domeniu ' Restricționarea domeniului de aplicare al unui controler de domeniu Găsirea unui site client Asocierea unui client cu un site specific Crearea unui obiect de conexiune Listarea obiectelor de conexiune pentru un server specificat Echilibrarea încărcăturii între serverele Bridgehead Găsirea unui generator de topologie intersite pentru un sit specificat Transferarea rolului de generator de topologie intersite un alt controler de domeniu Rularea Verificatorului de consecvență a cunoștințelor Monitorizarea performanței verificatorului de consistență a cunoștințelor Dezactivarea Verificatorului de coerență a cunoștințelor pentru site-ul specificat Modificați durata de rulare a Knowledge Consistency Checker Capitolul Replicare Introducere Verificarea sincronizării a două controlere de domeniu Vizualizați detaliile de replicare pentru mai multe controlere de domeniu Conţinut Vedeți modificările nereplicate în directoare două controlere de domeniu Replicare forțată de la un controler de domeniu la altul Modificarea perioadei de replicare intra-site Modificarea perioadei de replicare intersite Dezactivarea modului de compresie pentru traficul de replicare între site-uri Rezolvarea problemelor de replicare Activarea înregistrării evenimentelor de replicare extinsă Setarea replicării consistență puternică sau slabă Găsirea obiectelor aflate în conflict Vizualizarea metadatelor unui obiect Capitolul Introducere Crearea unei zone de căutare directă Crearea unei zone de căutare inversă Vizualizarea zonelor pe server Conversia unei zone DNS obișnuite într-o zonă federată cu Active Directory Mutarea zonelor integrate în Active Directory la secțiunea de aplicații Delegarea controlului zonei Crearea și ștergerea înregistrărilor de resurse Găsirea înregistrărilor de resurse Modificarea configurației serverului DNS Efectuarea curățării pentru a elimina înregistrările vechi de resurse Stergerea memoriei cache DNS Verificați dacă înregistrările de resurse pot fi înregistrate controler de domeniu Înregistrarea înregistrărilor resurselor controlerului de domeniu Dezactivarea înregistrării dinamice a înregistrărilor de resurse controler de domeniu Dezactivați înregistrarea dinamică a înregistrărilor de resurse anumite tipuri Ștergerea înregistrărilor de resurse ale controlerului de domeniu Folosind un sufix de domeniu în numele computerelor, altul decât un nume de domeniu Active Directory Capitolul Securitate și autentificare Introducere Activarea SSL/TLS Criptați traficul LDAP cu SSL sau TLS și utilizați semnături digitale Permiterea accesului anonim prin LDAP Prevenirea interogărilor LDAP de la anumiți clienți Conţinut Utilizarea vrăjitorului de delegare a controlului Configurarea vrăjitorului de delegare a controlului Vizualizarea listei de control al accesului a unui obiect Personalizarea editorului ACL Vizualizarea permisiunilor efective pe un obiect Modificarea listei de control al accesului unui obiect Schimbarea listei implicite de control al accesului, asociat cu o clasă de trăsături dintr-o schemă Compararea ACL a unui obiect cu lista implicită controlul accesului din clasa sa Resetarea listei de control al accesului unui obiect Prevenirea salvării hash-urilor parolei Activarea accesului la obiecte la listă Editarea listei de control al accesului pentru administratori Vizualizarea și ștergerea biletelor Kerberos Partajarea protocoalelor Kerberos și UDP Configurarea setărilor protocolului Kerberos Capitolul Înregistrare, monitorizare și cote Introducere ; Înregistrare extinsă a operațiunilor programului dcpromo Creșterea nivelului de logare de diagnosticare Înregistrarea procesului NetLogon Înregistrare pe partea client a procesării obiectelor Politica de grup Înregistrarea sistemului Kerberos Depanați înregistrarea serverului DNS Vizualizarea statisticilor de performanță a serverului DNS Înregistrarea interogărilor LDAP ineficiente și costisitoare Vizualizarea statisticilor de interogare LDAP utilizând Manager obiect STATIS Monitorizarea Active Directory folosind perfmon , Utilizarea jurnalelor de urmărire perfmon pentru monitorizarea funcționării Active Directory Accesul la directorul de audit Definiția cotei Căutați obiecte de cotă asociate cu un principal de securitate Modificarea factorului de ponderare a obiectelor îngropate în raport cu cota Stabilirea unei cote pentru membrii sistemului de securitate din secțiunea specificată Determinarea părții utilizate din cotă Conţinut Capitolul : Copiere de rezervă și restaurare a unui director, obiecte șterse Introducere Arhivarea datelor Active Directory Repornirea unui controler de domeniu în modul de recuperare servicii de directoare Resetarea parolei de administrator pentru modul de recuperare servicii de directoare Efectuarea unei restaurări neautorizate Restaurarea autorizată a unui obiect sau a unui subarboresc Restaurare completă autorizată Verificarea integrității fișierului DIT Mutarea unui fișier DIT Repararea sau restaurarea unui fișier DIT Defragmentarea unei baze de date fără a închide serviciile pe un controler de domeniu Determinarea cantității de spațiu liber dintr-un fișier DIT Efectuarea unei defragmentări cu dezactivarea serviciilor pe un controler de domeniu Modificarea perioadei de colectare a gunoiului Înregistrarea operațiunii de îndepărtare a obiectelor îngropate Determinarea dimensiunii bazei de date Active Directory Găsirea elementelor de la distanță Restaurarea elementelor șterse Modificarea orei de înmormântare a obiectelor Capitolul Secțiuni de aplicație Introducere Crearea și ștergerea unei secțiuni de aplicații Găsirea partițiilor de aplicație în pădure Adăugarea și eliminarea unui server de replicare Găsirea serverelor de replicare a partițiilor de aplicații Găsirea partițiilor de aplicație stocate pe un server specificat Verificarea setărilor secțiunii de aplicație de pe server Determinarea timpului de întârziere a notificării de replicare Atribuirea unui domeniu de legătură de descriptor de securitate pentru secțiunea de aplicații Delegarea funcțiilor de gestionare a partițiilor de aplicație Capitolul Interoperabilitate și integrare Introducere Accesarea Active Directory de pe o platformă non-Windows Programare în NET Programare DSML Conţinut Programare Perl Programare Java Programarea în Python Integrare cu MGY Kerberos Integrarea cu Samba Integrarea cu Apache Înlocuirea serviciului NIS Folosind BIND în loc de DNS Autorizarea serverului DHCP Microsoft Utilizarea VMWare pentru a testa Active Directory Aplicație Lista instrumentelor Index cuvânt înainte Cincisprezece ani, începând cu "anul rețelei locale", care, dacă nu mă înșel, a venit mai întâi în , apoi în , și, în final, în , am așteptat "anul catalogului" Dar scriu aceste rânduri într-un moment în care rareori există un serviciu de director în orice rețea de întreprindere Totuși, în timp ce așteptam cu răbdare să apară catalogul la ușa din față, acesta a strecurat pe ușa din spate Am adormit peste măsură cel mai important lucru De fapt, "anul catalogului" nu a venit și nu va veni niciodată La fel ca televiziunea, faxul, rețelele locale, telefonia celulară și internetul, serviciile de agendă au revoluționat tehnologia informației și comunicațiilor, dar nimeni nu poate spune exact când s-a întâmplat E ca și încălzirea globală: "Uite, iarna se termină și încă nu a fost zăpadă!" Industria calculatoarelor a asimilat o altă tehnologie care facilitează utilizarea resurselor împrăștiate în rețea, netezește tranzițiile și conexiunile și accelerează procesul de calcul Scopul principal al directoarelor este de a oferi capacitatea de a crea rețele mari și complexe care sunt capabile să "nu se prăbușească" sub propria greutate Primul sistem de operare de rețea comercială cu un serviciu de directoare încorporat, Banyan VINES, s-a dovedit un succes remarcabil Într-o perioadă în care majoritatea liderilor din tehnologia informației întreprinderilor erau doar vag conștienți de faptul că apariția rețelelor LAN pentru grupuri de lucru ar putea face fără sens strategiile lor pentru minicomputer și mainframe, doar câțiva, cei mai avansați lideri au privit spre viitor și au luat decizii cu privire la crearea unui sistem global rețele de calculatoare personale cu control centralizat, bazate pe serviciul de directoare distribuit și replicat StreetTalk de la Banyan VINES și StreetTalk au făcut posibilă reducerea semnificativă a costurilor de gestionare a rețelelor distribuite de întreprinderi Sistemul de operare al rețelei VINES a oferit acces la fișiere, abilitatea de a imprima și de a schimba informații folosind hardware-ul serverului obișnuit Serviciul de director StreetTalk a îmbunătățit VINES cu o securitate puternică, un sistem distribuit de denumire și autentificare care a funcționat în întreaga rețea În plus, a fost integrat cu sistemul de e-mail, rezultând "idealul de simplitate și scalabilitate" Administratorii VINES se pot bucura de toate aceste funcții la costuri de întreținere excepțional de mici Tot ceea ce a fost necesar pentru a pune în funcțiune noul server VINES cu servicii de director și e-mail a fost cuvânt înainte instalați doar sistemul de operare ( de dischete!), configurați placa de rețea și dați un nume serverului Practic nu existau instrumente pentru rezolvarea problemelor, pentru că nu existau probleme Ei bine, dacă a apărut vreunul, a fost foarte ușor să le eliminați StreetTalk a adus VINES mai aproape de o abordare "set it and forget it" într-un mod care nu a existat niciodată în lumea în rețea De fapt, exact asta ar fi trebuit să fie un adevărat serviciu de directoare Cu toate acestea, la ani de la lansarea StreetTalk, conducerea de zece ani a Wapuap pe piața de rețele de întreprinderi s-a încheiat - parțial din cauza politicii de marketing nereușite a companiei, parțial datorită introducerii unui produs concurent de la Novell - NDS, numit acum eDirectory și parțial din cauza suportului abisal distribuitorilor, care pot fi numiti chiar demolare Prăbușirea Vapuap ca producător al unui sistem de operare în rețea a fost inevitabil În ultimii ani, piața serviciilor de directoare pentru sistemele de operare în rețea a fost dominată de Novell și Microsoft Produsul eDirectory al primei companii este bun din multe puncte de vedere, dar atunci când trebuie să construiți un sistem la nivel de întreprindere sau o rețea bazată pe Windows, avantajul sistemului Microsoft Active Directory este incontestabil Și acum am devenit un mare fan al Microsoft Active Directory, un software minunat, deși destul de complex, care funcționează excelent, se adaptează la sisteme de orice dimensiune și oferă o integrare eficientă a computerelor care rulează sisteme de operare Windows mai vechi, în special Windows NT și Windows Nu cred că Microsoft a avut vreodată un produs software atât de solid ca Active Directory, în special versiunea Ar fi foarte surprinzător să auzim despre o întreprindere care nu a putut implementa acest sistem Cu toate acestea, un astfel de software complex și de înaltă performanță necesită o cantitate mare de cunoștințe din partea administratorilor Dacă rețeaua VINES ar putea fi controlată ca un Volkswagen din anii șaizeci: push-push, stânga-dreapta, atunci Active Directory seamănă mai mult cu un avion cu reacție: un tablou de bord cu multe indicatoare și butoane și dacă nu știi de ce toate sunt necesare, riști să lași în urmă doar un crater fumegând în pământ Un administrator profesionist Active Directory trebuie să aibă cel puțin o înțelegere de bază a numeroaselor tehnologii diferite, inclusiv DNS, WINS, Kerberos, LDAP și, desigur, sistemul de operare Windows însuși În plus, el trebuie să poată îndeplini mai mult de o sută de sarcini diferite și să folosească trei duzini de utilități diferite Deși Active Directory simplifică foarte mult gestionarea unei rețele mari, întrucât preia o parte semnificativă a funcțiilor administrative, pentru a deveni un adevărat administrator, nu este suficient să citești câteva cărți și să participi la cursuri speciale - ai nevoie de experiență, cunoașterea multor detalii și nuanțe ale Active Directory și tehnologiile conexe Aceasta este istoria Active Directory Robbie Allen a scris o carte excelentă care oferă îndrumări despre cum să efectueze peste trei sute de sarcini care sunt aproape inevitabile pentru un administrator într-o etapă sau alta în operarea unui serviciu de directoare - ceva ca o listă de verificare profesională cuvânt înainte Active Directory pilot Pe măsură ce a formulat fiecare problemă, a oferit informații de bază, instrucțiuni pas cu pas pentru depășirea acesteia și link-uri către documente cu informații mai detaliate disponibile pe site-ul Microsoft Dacă trebuie să faceți ceva în Active Directory, Robbie Allen vă va oferi cea mai simplă și rapidă cale Îl cunosc pe Robbie de câțiva ani ca unul dintre cei mai străluciți vorbitori de la Conferința experților în directori de la NetPro și ca autor al multor articole din lista de corespondență activedir org ale lui Tony Murray Această persoană combină calități atât de rare precum cunoașterea profundă a principiilor și caracteristicilor Active Directory, înțelegerea a ceea ce trebuie făcut pentru implementarea și menținerea cu succes a acestui sistem și tendința inerentă administratorilor UNIX de a automatiza tot ceea ce poate fi automatizat folosind scenarii Prin urmare, Robbie nu numai că explică cum să efectuați această sau acea sarcină administrativă, ci oferă și scripturi gata făcute pentru automatizarea acesteia folosind VBScript, Perl, fișiere batch și utilitare de linie de comandă O carte care are aceste calități, desigur, este admirabilă Un ghid de utilizare pentru sarcinile administrative comune ar fi fost util în sine, dar Robbie a făcut o treabă grozavă în automatizarea acestora Făcând acest lucru, el ne-a ajutat să ne apropiem de obiectivul dorit - crearea unei rețele care să aibă, pe de o parte, performanța și puterea Windows și Active Directory și, pe de altă parte, ușurința de administrare, pe care nu am avut-o văzut de la VINES și StreetTalk La urma urmei, aceasta este o combinație minunată! Gil Kirkpatrick, Chief Information Officer, NetPro Introducere Când m-am alăturat programului de dezvoltare comună Microsoft Windows (JDP) în , existau foarte puține informații despre Active Directory Cărțile și documentele care ar putea ajuta primii administratori ai Active Directory au lipsit foarte mult pentru o perioadă destul de lungă, chiar și după lansarea Windows Și puținele surse care puteau fi încă obținute conțineau date incomplete și adesea eronate, așa că dezvoltatorii au trebuit să continue în mod tradițional - prin încercare și eroare Cu toate acestea, la doi ani de la prima lansare a Active Directory, situația s-a schimbat radical Au fost publicate aproximativ de cărți pe această temă, Microsoft a făcut corecții la documentația de pe site-ul MSDN (http://msdn mlcrosoft coin) și pe site-ul produsului (http://www microsoft com/ad/) ) Acum conține un număr mare de documente diverse, dintre care multe sunt în esență mini-manuale Au apărut și alte site-uri cu informații despre Active Directory Microsoft și-a îmbunătățit foarte mult documentația în sistemul de operare Windows Server Informații extinse despre Active Directory sunt acum disponibile direct pe un computer care rulează Windows Server sub forma unui Centru de ajutor și asistență, care este accesat de din meniul Start Vă întrebați de ce, cu atâta abundență de informații, a fost necesar să mai scriem o carte despre Active Directory? În vara lui , căutând informațiile de care aveam nevoie pentru a scrie un singur scenariu, mă uitam prin Perl Cookbook a lui O'Reilly După ce am găsit instrucțiuni detaliate, mi-am dat seama că administratorul unui sistem Active Directory, prin însăși natura sa concentrat pe realizarea unui anumit set de sarcini bine definite, avea nevoie de o astfel de carte - o colecție de rețete După ce am făcut puțină cercetare, a devenit clar că există cărți dedicate literalmente fiecărui aspect al acestui produs în sine și al funcționării acestuia (cărți introductive, manuale pentru crearea cataloagelor, portare de pe alte platforme, programare, diverse cărți de referință), dar nu există unul concentrat pe sarcini specifice, adică cărți în formatul în care sunt publicate cărțile de bucate O'Reilly Pe baza propriei mele experiențe, multe ore de cercetare, ani de muncă în grupuri de știri și abonamente la Active Directory, am compilat de rețete pentru sarcini practice cu care se confruntă administratorii Active Directory în munca lor zilnică Sper să fie ca cartea de bucate Perl care și-a luat locul cuvenit pe rafturi Introducere mulți experți - adepți ai acestui limbaj - și încă se vinde bine, cartea mea de bucate va servi ca un bun plus pentru biblioteca administratorului Active Directory și dezvoltatorului de aplicații care îl însoțesc sau interacționează cu acesta Cititorii La fel ca multe alte cărți de bucate O'Reilly, această carte este o carte de referință la care te poți referi pentru sarcinile tale zilnice Sper cu adevărat că va fi de folos tuturor celor implicați în implementarea, administrarea și automatizarea Active Directory Datorită abundenței de cod, cartea este deosebit de valoroasă pentru programatorii care au nevoie de un punct de plecare pentru crearea de programe Administratorii care nu au prea multă experiență în scrierea propriului cod pot folosi, de asemenea, scripturile VBScript și Perl furnizate aici și chiar le pot extinde după cum este necesar Colecția de rețete pe care le țineți în mână este completată cu succes de o altă carte a autorului - a doua ediție a Active Directory (O'Reilly), care oferă o descriere detaliată a conceptelor de bază ale serviciului de directoare, principiile dezvoltării infrastructura acestuia și automatizarea sarcinilor administrative utilizând ADSI (Active Directory Service) Interfețe - Active Directory Service Interfaces) și WMI (Windows Management Instrumentation - Windows Management Infrastructure) Sunt sigur că aceste două cărți, împreună cu resursele suplimentare enumerate în Capitolul , vă vor ajuta să răspundeți la orice întrebare pe care ați putea-o avea în timp ce rulați Active Directory Conținutul cărții Cartea constă din capitole, care discută secvenţial principalele componente ale directorului şi cele mai importante funcţii ale Active Directory, precum şi anexe cu o listă a tuturor instrumentelor menţionate Capitolul , "Recomandări generale", oferă informațiile de bază de care cititorii au nevoie pentru a utiliza eficient rețetele sugerate Vă spune unde să găsiți instrumentele menționate în carte, oferă sfaturi despre cum să utilizați scripturile VBScript și Perl și cum să le îmbunătățiți singur și enumeră sursele de informații suplimentare Despre principiile creării și ștergerii pădurilor și domeniilor, posibilitatea de a schimba modurile și nivelurile de funcționare a acestora, de a crea relații de încredere de diferite tipuri și de a efectua alte sarcini legate de administrarea relațiilor de încredere, este descrisă în Capitolul , "Pădurile" și Domenii, Relații de încredere" Iar capitolul , intitulat "Controle de domeniu, cataloage globale și roluri", oferă instrucțiuni despre cum să promovați și să retrogradați un server, să găsiți controlere de domeniu, să ofere suport global pentru catalog și să ofere îndrumări despre cum să gestionați rolurile FSMO Introducere Capitolul , "Obiecte și operații", prezintă metode pentru găsirea de informații în Active Directory, crearea, modificarea și ștergerea obiectelor și descrie modul de utilizare a obiectelor LDAP (Lightweight Directory Access Protocol), importul și exportul datelor LDAP în LDIF și CSV formate În Capitolul , Diviziuni, cititorul învață cum să creeze, să mute și să șterge diviziuni și cum să gestioneze obiectele pe care le conțin Capitolul , "Utilizatori", acoperă subiectul interesant al gestionării obiectelor care reprezintă utilizatori, cum ar fi crearea, redenumirea, mutarea, modificarea parolelor, blocarea conturilor, modificarea atributelor contului și căutarea utilizatorilor după criterii specificate (de exemplu, utilizatorii cărora parolele sunt pe cale să expire) Instrucțiuni pentru crearea de grupuri, modificarea tipurilor de grupuri și gestionarea apartenenței la grup sunt furnizate în Capitolul , intitulat "Grupuri" Modul în care puteți crea obiecte care reprezintă computere, conectați computere la domenii, reinstalați conturile acestora, căutați computere în funcție de criterii specificate (de exemplu, inactive pentru un anumit număr de zile), este discutat în Capitolul , intitulat "Computere" Capitolul , Obiecte de politică de grup, acoperă crearea, modificarea, legarea, copierea, importul, copierea de rezervă, restaurarea și ștergerea GPO-urilor folosind consola și scripturile de program adecvate Subiectul capitolului , Schema Active Directory, este administrarea schemei, care include proceduri precum generarea de identificatori de obiect (OID) și identificatori unici la nivel global (GUID), extinderea schemei folosind fișiere LDIF și căutarea de atribute sau clase pe baza criteriilor specificate (în special, căutarea tuturor atributelor indexate) Capitolul , "Topologia rețelei", acoperă modul de gestionare a site-urilor și a subrețelelor, precum și a legăturilor și a conexiunilor site-urilor Citind Capitolul , Replicare, cititorul va învăța cum să pornească și să oprească Knowledge Consistency Checker (KCC), cum să interogheze metadatele, să inițieze replicarea și să găsească modificări care nu au fost încă replicate altor controlere de domeniu Materialul din Capitolul , "Sistemul de nume de domeniu", va fi de utilizare principală pentru cititor la crearea zonelor și a înregistrărilor de resurse, la reconfigurarea serverelor DNS, la interogarea serviciului Sistemul de nume de domeniu (DNS) și la înregistrarea dinamică a înregistrărilor de resurse în funcție de domeniu controlorii Capitolul , "Securitate și autentificare", oferă instrucțiuni pentru delegarea controlului, vizualizarea și modificarea permisiunilor, determinarea permisiunilor efective și gestionarea biletelor de sistem Kerberos Capitolul , Înregistrare, monitorizare și cote, explică cum să activați auditul, să efectuați monitorizarea de diagnosticare a sistemelor și serviciilor DNS, NetLogon și Kerberos, analiza GPO (Obiect politică Ggroup - Obiect politică grup), colectare statistici despre execuția interogărilor LDAP , cum să gestionați cotele de creare a obiectelor Introducere Capitolul , "Copia de rezervă și restaurarea directorului, obiectelor șterse", acoperă procedurile de service, cum ar fi backupul Active Directory, efectuarea restaurărilor autorizate și neautorizate, verificarea integrității fișierului DIT și efectuarea defragmentării fișierului DIT în modul operațional și în Modul de restaurare a serviciului director În plus, aici vorbim despre obiectele Active Directory șterse, în special despre căutarea și recuperarea acestora Capitolul , Partiții de aplicații, se concentrează pe modul de a crea și gestiona partițiile de aplicații În cele din urmă, capitolul , intitulat Interoperabilitate și integrare, discută cum să integrați Active Directory cu alte aplicații, servicii și limbaje de programare Convenții folosite în carte Pentru a facilita percepția materialului prezentat, numele comenzilor de meniu și ale altor elemente de interfață, precum și numele fișierelor, console MMC, chei de registry, directoare și URL-uri sunt evidențiate într-un font special Comenzile de la tastatură și codul programului sunt prezentate în font monospace Termenii noi care apar în text sunt cu caractere cursive Cartea folosește barele laterale "NOTĂ" și "ATENȚIE" concepute pentru a concentra cititorii asupra celor mai importante aspecte și prevederi Părere Informațiile date în carte au fost atent verificate și, bineînțeles, testate nu doar de autor, ci și de angajații editurii O'Reilly Cu toate acestea, greșelile sunt inevitabile și vă rugăm să raportați orice inexactități sau erori tipografice pe care le găsiți Vom încerca să le corectăm în edițiile viitoare ale cărții A fost creată o pagină web pentru carte, care conține o listă de erori, exemple de cod și diverse informații suplimentare Adresa acestei pagini este: http: www orei lly com/cata log/activedckbk Exemple de cod sunt disponibile și pe site-ul web al autorului: http://www rallenhome com/books/ad-cookbook/code html Mulțumiri Editura O'Reilly angajează oameni minunați cu care a fost o plăcere să lucrez Vreau să-i mulțumesc lui Robert Denn pentru ajutorul acordat cu schița inițială a cărții și lui Andy Oram pentru critica sa generală a materialului Introducere Am avut norocul să lucrez cu un grup de scriitori geniali în tehnologie, care sunt adevărați experți în Active Directory Le voi numi pe nume Rick Kingslan (rkingsla@cox net) este inginer principal de sisteme pentru Microsoft Windows Server Dacă ați postat vreodată întrebări într-un grup de știri sau forum Active Directory, este posibil ca și Rick să fi fost implicat în căutarea unui răspuns Este capabil să rezolve orice problemă legată de acest produs și am apelat la el pentru sfat de mai multe ori Gil Kirkpatrick (gilk@netpro com) este vicepreședinte executiv și director de informații al NetPro (http://www netpro com/) și autorul cărții Active Directory Programming de MacMillan După ce a stăpânit abilitățile de a lucra cu Active Directory, Gil m-a ajutat adesea să rezolv cele mai dificile probleme Tony Murray (Topu Murray, tony@activedir org) este creatorul site-ului de liste de corespondență ActiveDir org, considerat unul dintre cele mai bune forumuri de discuții Active Directory Nenumăratele întrebări care vin pe acest site mi-au dat impulsul să scriu această carte Cu comentariile și sugestiile sale, Tony a fost de un ajutor neprețuit în munca mea Todd Myrick (myrickt@mail nih gov) este un om care, prin munca sa într-o organizație guvernamentală, are o perspectivă unică asupra Active Directory A oferit mai multe idei care nu puteau veni decât de la o persoană atât de creativă Joe Richards (joe@joeware net) este creatorul site-ului http://www joe-ware net/, care conține multe instrumente de care are nevoie un administrator Active Directory, cum ar fi adflnd, deblocare etc El este unul unul dintre cei mai experimentați administratori și programatori Active Directory pe care am avut plăcerea să-i cunosc Joe trebuie să îndeplinească adesea sarcinile descrise în această carte, așa că ajutorul primit a fost foarte valoros și cu adevărat profesionist Kevin Sullivan (ksullivan@aelita com) este manager de proiect pentru Enterprise Directory Management la Aelita Are o vastă experiență cu Active Directory și contribuie frecvent la forumurile de discuții Active Directory Kevin a făcut multe sugestii și clarificări cu privire la această carte În cele din urmă, aș dori să-i mulțumesc soției mele, Janet Dragostea, sprijinul și zâmbetul ei radiant îmi amintesc în mod constant cât de norocos sunt Și în ceea ce privește rețetele, nu este pentru mine să concurez cu ea! De la editorul traducerii Trimiteți comentariile, sugestiile, întrebările dvs la comp@piter com (editura Peter, ediție computer) Ne-ar plăcea să auzim părerea ta despre carte! Informații detaliate despre cărțile publicate de Piter și BHV Publishing Group pot fi găsite pe site-urile www piter com și www bhv kiev ua Recomandări generale structura cărții Dacă ați citit cărțile de bucate ale lui O'Reilly pe subiecte populare precum Perl, Java, DNS și BIND, vă veți familiariza cu structura și prezentarea acestei cărți Cartea este formată din capitole care oferă rețete pentru realizarea unor sarcini specifice legate de lucrul în sistemul Active Directory Fiecare rețetă este reprezentată de patru părți: "Problemă", "Soluție", "Comentează" și "Vezi și" Prima parte formulează pe scurt esența problemei luate în considerare, a doua oferă instrucțiuni pas cu pas pentru rezolvarea acesteia, a treia explică problema în sine și metodele de rezolvare mai detaliat, iar a patra parte enumeră surse suplimentare de informații despre acest subiect: numere de alte rețete din aceleași cărți, numere de documente MS KB (Baza de cunoștințe Microsoft) aflate la http://support microsoft com/ și documente MSDN (Microsoft Developers Network - Documentație pentru dezvoltatori care folosesc produse Microsoft) ) că îl găsiți la http://msdn celula microsoft Trei moduri de a finaliza fiecare sarcină Când autorul a început să scrie această carte, a apărut întrebarea: ce să faci cu faptul că aproape fiecare operațiune din Active Directory este efectuată folosind diverse instrumente Probabil că ești familiarizat cu motto-ul lui Perl: "Există mai multe moduri de a face asta!" Acest motto se aplică și pentru Active Directory: aproape toate sarcinile legate de acesta sunt efectuate în cel puțin trei moduri: folosind unul dintre utilitarele cu interfață grafică de utilizator, să spunem ADSI Edit sau LDP, sau snap-in-ul MMC corespunzător (Microsoft Management Console) - consola de management Microsoft); folosind unul dintre utilitarele de linie de comandă care sunt atât de numeroase în Active Directory (de exemplu: dsadd, dsmod, dsrm, dsquery, dsget, nltest, netdom sau di fde) și, în final, folosind un script scris într-un limbaj popular precum ca VBScript sau Perl Alegerea metodei depinde de preferințele administratorului și de situația în care apare problema Prin urmare, fiecare rețetă oferă trei soluții - folosind interfețe grafice, de comandă și software Pot exista mai puține opțiuni dacă nu există un anumit tip de soluție Capitolul Recomandări generale Pentru soluțiile bazate pe GUI și CLI, instrumentele standard disponibile pentru fiecare administrator sunt bune Desigur, există și alte instrumente, dar această colecție de rețete a fost compilată cu înțelegerea că administratorul nu trebuie să piardă timpul căutându-le și instalându-le VBScript este folosit predominant în soluții software, din nou datorită accesibilității sale pentru administratorii de sistem Windows și, de asemenea, deoarece programarea pe acesta este supusă utilizării interfeței de programare ADSI (Active Directory Service Interface) și sistemul WSH (Windows Script Host) este destul de simplu Programatorii care preferă să lucreze cu alte limbaje, inclusiv Visual Basic, Perl și JScript, vor găsi ușor să traducă codul prezentat aici Unul dintre dezavantajele limbajului VBScript este că nu este conceput pentru a efectua sarcini complexe În cazurile în care este dificil să rezolvi o problemă cu ajutorul lui, în rețete se folosește Perl Dacă preferați să vă scrieți toate scripturile în Perl, consultați pagina web a cărții pentru scriptul Perl echivalent pentru fiecare rețetă Pentru a descărca orice script, accesați http://www rallenhome com/books/adcookbook/code html În prezent, există două versiuni de Active Directory Prima dintre acestea a fost destinată Windows , iar odată cu Windows Server a venit a doua versiune, semnificativ schimbată și îmbunătățită Această carte se concentrează mai mult pe cea mai recentă versiune a Active Directory Majoritatea soluțiilor pe care le propune se aplică Windows și nici măcar nu necesită modificări În cazurile în care nu este cazul, rețeta specifică pentru ce sistem de operare este destinată soluția specifică Windows Server a introdus noi utilitare de linie de comandă, dintre care majoritatea nu pot rula pe Windows Cu toate acestea, puteți utiliza aceste instrumente pentru a gestiona Active Directory pentru Windows , rulându-le pe un computer la distanță care rulează Windows XP sau Windows Server Unde să cauți folosit în cartea de instrumente Cele mai multe dintre programele grafice sau de linie de comandă menționate în această carte sunt incluse în sistemul de operare în timpul unei instalări standard, în Kitul de resurse sau în Instrumentele de asistență Trebuie să știți că atât Kitul de resurse Windows Server, cât și Kitul de resurse Windows Server sunt surse valoroase de informații și conțin multe instrumente pentru a ajuta administratorii cu o varietate de sarcini de zi cu zi Informații detaliate despre acestea sunt disponibile la http://www microsoft com/windows/reskits/ Unde să cauți instrumentele folosite în carte Pachetul Instrumente de asistență Windows și pachetul său partener, Instrumentele de asistență Windows pentru Windows Server , conțin multe utilitare cu care un administrator Active Directory ar trebui să fie familiarizat Microsoft Installer (MSI) pentru ambele pachete poate fi găsit în directorul \support\tools de pe CD-ul Windows Server sau Windows Server dat în anexă Executarea comenzilor și a programelor în numele unui anumit utilizator Cea mai bună abordare pentru gestionarea Active Directory este de a crea conturi separate cu permisiuni extinse pe care administratorii le pot folosi pentru a efectua sarcini de management specializate În același timp, administratorii ar trebui să aibă și conturi de utilizator obișnuite care să poată accesa alte resurse ale sistemului de operare din rețea pentru a ajuta la prevenirea modificărilor accidentale la Active Directory În acest caz, pentru a efectua sarcini administrative, va trebui fie să vă conectați cu un cont de administrator, fie să utilizați instrumentele administrative pentru a configura un nume de utilizator și o parolă alternative Trebuie remarcat faptul că numele de utilizator și parola alternative sunt specificate în mai multe moduri În special, acest lucru se poate face folosind o serie de utilități Dacă utilitarul nu oferă posibilitatea de a seta un nume de utilizator și o parolă pentru o anumită sarcină, utilizați comanda runas Următoarele arată cum să rulați utilitarul enumprop din Resource Kit ca administrator al domeniului ral encorp fagure: > runas /usenadministrator@rallencorp sopi /netonly "enumprop \"LDAP://dcl/dc^a encorp,bs'SotV" Pentru a rula MMC ca administrator, specificați numele acestuia în comanda runas, după cum urmează: > runas /user:administrator@rallencorp com /netonly "mmc" Aceasta va lansa o consolă MMC goală, din care este ușor să creați o consolă pentru orice snap-in instalat pe computerul local NOTĂ - Comutatorul /netonly este necesar atunci când utilizatorul în numele căruia executați această comandă nu are dreptul de a se conecta la computerul local O altă posibilitate este să rulați console MMC ca alt utilizator Găsiți comanda corespunzătoare în meniul Start și, în timp ce țineți apăsată tasta Shift, faceți clic dreapta pe ea Selectați comanda Run As din meniul contextual și vi se va solicita să introduceți numele și parola utilizatorului în numele căruia doriți să rulați programul Capitolul Recomandări generale Rulați o sarcină pe un anumit controler de domeniu Cele mai multe dintre soluțiile propuse nu specifică un controler de domeniu specific și folosesc legarea fără server, care poate folosi orice controler de domeniu disponibil Legarea se referă la procesul de stabilire a unei corespondențe între numele utilizatorului care este conectat la sistem și care efectuează anumite acțiuni în acesta și contul său, în care îi sunt definite permisiunile În plus, legarea se mai numește și obținerea unui identificator de obiect după numele său, ceea ce vă permite să efectuați anumite operații asupra acestui obiect În ambele cazuri, legarea trebuie efectuată de un controler de domeniu specific În legarea fără server, orice controler de domeniu disponibil se conectează la sistem și apoi solicită acces la director Cu toate acestea, există situații în care trebuie utilizat doar controlerul specificat Legarea fără server funcționează atâta timp cât DNS este configurat pentru pădurea Active Directory și clientul îl poate interoga Dacă Active Directory este utilizat independent de DNS și nu are nicio legătură cu acesta, trebuie specificat controlerul de domeniu Introducere în LDIF Chiar și odată cu introducerea de noi instrumente pentru Windows Server , suportul pentru capacitatea de modificare a datelor din Active Directory utilizând o interfață de linie de comandă a rămas foarte slab Utilitarul dsmod poate modifica atributele obiectelor, dar numai dintr-un set limitat de clase Cu toate acestea, interfața de linie de comandă nu este foarte potrivită pentru lucrul cu obiecte, cum ar fi schimbarea atributelor cu valori multiple ale acestora O comandă care are mai mult de una sau două valori este foarte lungă În acest caz, este mult mai ușor să utilizați un editor GUI, cum ar fi ADSI Edit În același timp, lucrul cu acest instrument este destul de incomod când vine vorba de a face un număr mare de modificări sau de a efectua aceleași operații în mod repetat În astfel de situații, întrebarea apare în mod firesc: este posibil să descrii modificările care trebuie făcute directorului într-un fișier separat într-un format text convenabil, să editezi și să verifici această descriere și apoi să o treci la Active Directory pentru a face modificări la director? O astfel de posibilitate există Pentru a-l implementa, a fost dezvoltat formatul standard LDIF (LDAP Data Interchange Format - LDAP data exchange format), definit în RFC Acesta vă permite să descrieți operațiunile de adăugare, modificare și ștergere a datelor din director sub formă de text, salvare aceste informații într-un fișier, de unde pot fi importate în catalog folosind mijloace adecvate Suportul pentru funcțiile de import și export LDIF pentru Active Directory a fost introdus în Windows sub forma utilitarului di fde Un fișier LDIF constă din blocuri de înregistrări, fiecare dintre ele definește o operație de adăugare, modificare sau ștergere a unui obiect Prima linie a intrării conține numele distinctiv al obiectului, Programare în al doilea - tipul modificării (adăugați, modificați sau ștergeți) Dacă un obiect este adăugat, intrările de bloc ulterioare conțin valorile atributelor care sunt setate (una pe linie) Nu trebuie să setați niciun atribut pentru a șterge un obiect Dacă obiectul este în curs de modificare, blocul trebuie să conțină cel puțin încă trei intrări Prima dintre acestea specifică tipul de modificare: add (setarea unui atribut încă nesetat sau adăugarea unei noi valori la un atribut cu mai multe valori), geriace (înlocuirea unei valori existente) sau delete (ștergerea unei valori) Acesta este urmat de un caracter de două puncte și de valoarea atributului De exemplu, pentru a înlocui valoarea curentă a atributului sn cu valoarea Smith, scrieți următoarea specificație de operație în format LDIF: dn: cn=j smi th cn=users dc=ral encorp dc=com changetype: modifică înlocuiește: sn sn: Smith Blocul de modificare trebuie să fie urmat de o linie care conține un singur caracter, semnul minus (-) Alte operațiuni de modificare pot fi descrise, iar fiecare dintre ele trebuie urmată de o linie cu semnul minus Următorul este textul complet al fișierului LDIF pentru adăugarea unui obiect utilizator numit jsmith la catalog și apoi modificarea valorilor atributelor sale givenName și sn: dn: cn=jsmith,cn=users,dc=ral encorp docom changetype: add objectClass: user samaccountname: jsmith sn:JSmithuseraccountcontrol: dn: cn=jsmi th,cn=users,dc=ra encorp,dc=com changetype: modify add: givenName givenName: Jim înlocuiţi: sn sn: Smith Cum să utilizați utilitarul di fde pentru a importa informații din fișierele LDIF și a le exporta în fișiere cu acest format este descris în detaliu în Rețetele și (Capitolul ) Programare Scripturile VBScript din această carte sunt menținute în mod deliberat cât mai scurte posibil Deoarece acesta nu este un tutorial de programare, nu există instrucțiuni detaliate pentru utilizarea, de exemplu, ADSI sau WMI Scripturile furnizate în rețete nu sunt frivole; dimpotrivă, pot fi extinse și modificate în funcție de propriile nevoi treizeci Capitolul Recomandări generale Legare fără server Cartea nu oferă instrucțiuni despre cum să vă conectați la un controler de domeniu specific, deoarece în cele mai multe cazuri este utilizată legarea fără server În VBScript, legarea fără server la un obiect RootDSE este descrisă după cum urmează: set objRootDSE = GetObject("LDAP://RootDSE") Acest cod solicită o referință la obiectul RootDSE de la controlerul de domeniu împotriva căruia utilizatorul curent a fost autentificat Dacă trebuie să specificați exact domeniul, specificați numele acestuia în parametrul metodei GetObject: set objRootDSE = GetObjectC"LDAP://apac rallencorp com/RootDSE") În mod similar, puteți specifica numele unui anumit controler de domeniu în acest parametru: set objRootDSE = GetObject("LDAP://dcl/RootOSE") Prin urmare, în funcție de configurația mediului dumneavoastră și de către ce pădure este direcționată cererea, este posibil să fie necesar sau nu să specificați un anumit domeniu sau nume de server în script Executarea scripturilor ca alt utilizator Adesea este nevoie de a rula un script în numele altui utilizator (mai precis, un alt cont care aparține aceluiași utilizator, dar are un set extins de drepturi) Puteți face acest lucru cu comanda runas menționată mai sus, dar este mai bine să utilizați serviciul Sarcini programate, care vă permite să rulați un script ca utilizator pe care l-ați specificat când ați creat sarcina O a treia posibilitate este să codificați numele de utilizator și parola în script Evident, aceasta nu este cea mai bună soluție, deoarece fișierul script poate fi vizualizat de alți utilizatori Cu toate acestea, în unele cazuri, aceasta este cea mai bună soluție, mai ales atunci când se dezvoltă scenarii care sunt concepute pentru a efectua operațiuni în mai multe păduri Următoarele arată cum să faceți acest lucru cu ADSI și ADO Când utilizați ADSI, numele de utilizator și parola pot fi specificate în apelul la metoda lADsOpenDSObject::OpenDSObject Oricare dintre soluțiile din această carte poate fi ușor modificată pentru a efectua autentificarea utilizatorului De exemplu, următorul cod tipărește o descriere a unui domeniu dat: set objDomain = GetObject("LDAP://dc=apac dc=rallencorp,dc=com") WScript Echo "Descriere: " & objDomain GetC'description") Pentru a vă autentifica folosind metoda OpenDSObject, trebuie să modificați prima linie din acest fragment de cod și să adăugați altul: set objLDAP = GetObject("LDAP:") setați objDomain " objLDAP OpenDSObject( "LDAP://dc=apac,dc=ral encorp,dc=com" "adm nistrator@apac rallencorp com", Programare "Parola mea" ) WScript Echo "Descriere: " & objDomain GetCdescription") Autentificarea este la fel de ușoară cu ADO Luați în considerare următorul exemplu, care execută o interogare pentru a selecta toate obiectele computerului din domeniul apac rallencorp com: strBase = " ;" strFilter = ,'(&(objectclass=computer)(objectcategory=computer));" strAttrs = "cn;" strScope = "subtree" set objConn = CreateObjectCADODB Connection") objConn Provider = "ADsDSOObject" objConn Open "Active Directory Provider" set objRS = objConn Execute(strBase & strFilter & strAttrs & strScope) objRS MoveFirst while Not objRS EOF Wscript Echo objRS Fields(O) Value objRS MoveNext merge încet Adăugând cele două rânduri cu caractere aldine, autentificarea se poate face folosind contul de administrator: strBaseDN = " ;" strFilter ■" "(&(objectclass=computer)(objectcategory=computer));" strAttrs = "cn;" strScope = "subtree" set objConn = CreateObjectCADODB Connection") objConn Provider = "ADsDSOObject" objConn PropertiesCUser ID") = "administrator@apac rallencorp com" objConn PropertiesCPassword") = "MyPassword" objConn Open "Active Directory Provider" set objRS = objConn Execute(strBaseDN & strFilter & strAttrs & strScope) objRS MoveFirst while Not objRS EOF Wscript Echo objRS Fields(O) Value objRS MoveNext wend Pentru a efectua autentificarea ADO, trebuie să setați proprietățile ID utilizator și parolă ale obiectului de conexiune ADO ID-ul utilizatorului din acest exemplu este UPN-ul administratorului ADSI și ADO permit UPN-uri, nume de stil NT (de exemplu: APAC\Administrator) sau nume distinctive de utilizator Definirea variabilelor și tratarea erorilor O parte importantă a oricărui script sunt instrucțiunile pentru gestionarea erorilor Astfel de instrucțiuni vă permit să identificați în timp util o eroare care a apărut în timpul execuției uneia sau alteia părți a scriptului și să luați măsurile adecvate fără a opri funcționarea acestuia În această carte, majoritatea soluțiilor de programare nu conțin cod predefinit de gestionare a erorilor Capitolul Recomandări generale variabile sau, să presupunem, cod care eliberează memoria ocupată de variabile Scenariile oferite nu sunt destinate predării programării, deci au cerințe speciale Astfel de scripturi ar trebui să fie scurte și să nu conțină cod suplimentar care le-ar aglomera foarte mult Prin urmare, nu pot fi considerate programe fiabile și stabile care pot funcționa corect în toate circumstanțele Sunt mai degrabă spații libere care vă permit să efectuați rapid o sarcină tipică într-un mediu standard și pe baza cărora, dacă doriți, puteți scrie propriul cod, mai flexibil și mai fiabil Gestionarea erorilor în VBScript este foarte simplă Textul scriptului începe cu linia Op Eroare Reluare Următorul Îi spune interpretului că, dacă apare o eroare, execuția scriptului ar trebui să continue Dacă scriptul nu conține o astfel de instrucțiune, execuția sa se încheie la prima eroare Dacă există o instrucțiune Op Error Resume Next, atunci scriptul trebuie să conțină codul programului în care obiectul Egg este verificat pentru erori Un astfel de cod ar trebui să urmeze orice fragment de script în care sunt efectuate acțiuni care pot duce la erori Iată cel mai simplu exemplu: Op Eroare Reluare Următorul set objOomain = GetObject(''LDAP://dc=rallencorp,dc=com") dacă Err Number <> atunci Wscript Echo "A apărut o eroare la încercarea de a obține obiectul domeniului: " & Err Description Wscript Quit sfârşitul Dacă Cele mai importante două proprietăți ale obiectului Egg sunt Number, care este diferit de zero pentru a indica o eroare și Desenption, care conține un mesaj text despre eroare Acum să trecem la gestionarea variabilelor Este recomandabil să plasați următoarea linie la începutul fiecărui script: Opțiunea explicită Setarea acestei directive înseamnă că fiecare variabilă utilizată în script trebuie să fie declarată - în caz contrar, o excepție va fi aruncată când scriptul este executat Variabilele în VBScript sunt declarate folosind cuvântul cheie Dim Când ați terminat cu o variabilă, ar trebui să o setați la Nimic pentru a returna resursele asociate acesteia către sistem În plus, această măsură ajută la prevenirea reutilizarii accidentale a unei variabile cu o valoare veche Următorul exemplu demonstrează cum să finalizați scriptul de mai sus care scoate numele de domeniu cu gestionarea erorilor și codul de gestionare a variabilelor: Opțiunea explicită Op Eroare Reluare Următorul Dim objOomain set objOomain = GetObjectC"LDAP ://cn=users dc=rallencorp dc=com") dacă Err Number <> atunci Wscript Echo "A apărut o eroare la încercarea de a obține obiectul domeniului: " & Err Description Surse suplimentare de informații Wscript pct Qui t sfârşitul dacă Dim strDescr strDescr == objDomain GetCdescription") dacă Err Number <> atunci Wscript Echo "A apărut o eroare la încercarea de a obține o descriere a domeniului: * & Err Description Wscript Quit sfârşitul dacă WScript Echo "Descriere: " și strDescr objDomain = Nimic strDescr = Nimic Text de înlocuire Cartea conține multe exemple de rezolvare a problemelor, iar în majoritatea acestora, în special în soluțiile implementate folosind linia de comandă și limbaje de scripting, sunt folosite nume de domenii, păduri, unități organizaționale, utilizatori etc În loc de nume fictive, valorile acestor parametri sunt text de înlocuire Este ușor de recunoscut deoarece este scris în cursiv și este înconjurat de paranteze unghiulare (<>) O descriere a simbolurilor cele mai frecvent utilizate este prezentată mai jos: D este numele distinctiv al domeniului (de exemplu: dc=amer,dc=rallencorp, dc=com); M este numele distinctiv al domeniului rădăcină a pădurii (de exemplu: dc=ral encorp dc=com); M este numele DNS complet calificat al domeniului (de exemplu: amer rallencorp com); O este numele DNS complet calificat al domeniului rădăcină a pădurii (de exemplu: ral encorp com); O este numele de gazdă DNS scurt sau complet calificat al controlerului de domeniu (de exemplu: dcOl ral encorp com); O este numele distinctiv al utilizatorului (de exemplu: ^administrator cn=users,dc=ral encorp,dc=com); O este numele distinctiv al grupului (de exemplu: cnOomai n Adrni ns cn=users dc=ra encorp, dc=com); O este numele de gazdă scurt DNS al computerului (de exemplu: ral en-xp) Surse suplimentare de informații Trebuie remarcat faptul că administrarea Active Directory necesită o cantitate imensă de cunoștințe De câțiva ani de funcționare a produsului, specialiștii au acumulat o anumită experiență care le permite să rezolve o mare varietate de probleme Capitolul Recomandări generale și să-și folosească eficient capacitățile, suportul de informații organizat pentru administratori și dezvoltatori într-o varietate de forme Această carte conține o cantitate suficientă de informații necesare pentru a îndeplini majoritatea sarcinilor și problemelor asociate cu menținerea Active Directory, deși, desigur, nu pretinde a fi un ghid exhaustiv Această secțiune descrie și clasifică cele mai importante surse de informații pe care le puteți găsi utile Utilitare pentru linia de comandă Dacă aveți întrebări despre sintaxa completă sau despre utilizarea unei anumite comenzi, primul pas este să vă referiți la propriul ajutor Majoritatea utilitarelor de linie de comandă acceptă comutatorul /? pentru a indica faptul că aveți nevoie de informații de ajutor De exemplu: > dsquery /? Baza de cunoștințe Microsoft Pe site-ul de asistență Microsoft, veți găsi o mare varietate de informații, inclusiv setul de articole menționate mai sus, numit Microsoft Knowledge Base - MS KB Cartea conține multe referințe la aceste articole Pentru a obține textul integral al unui anumit articol MS CV, trebuie să vă conectați la http://support microsoft com/default aspx și să căutați articolul după numărul său Adăugând numărul articolului la sfârșitul adresei URL http://support microsoft com/?kbid=, îl puteți deschide direct Rețeaua de dezvoltatori Microsoft O cantitate imensă de informații despre Active Directory și unele dintre interfețele sale de programare este conținută în sistemul de ajutor pentru dezvoltatorii care folosesc tehnologiile Microsoft - MSDN Multe dintre rețetele din această carte leagă la articole MSDN, deși indicarea către o anumită pagină din acel sistem de ajutor nu este la fel de ușor ca indicarea unei pagini de articol MS KB Articolele MSDN nu au numere și nu are rost să specificați adrese URL, deoarece se pot schimba Prin urmare, cartea are titluri de pagini care pot fi căutate la http://msdn micro-soft com/library/ Site-uri Mai jos este o listă de site-uri web care vă pot ajuta să aflați mai multe despre Active Directory și o listă de utilități care vă pot face sistemul mai ușor de utilizat O pagină de pornire Microsoft Active Directory (http://www microsoft com/ad/) Acesta este punctul de plecare pentru a căuta informații despre Active Directory oferite de Microsoft Conține link-uri către articole, exemple și componente software Surse suplimentare de informații Despre Microsoft Web Presentation (http://support microsoft com/default aspx?scid=fh;EN-US;pwebcst) Prezentări audio și video tehnice descărcabile la cerere pentru diverse produse Microsoft Există mai multe prezentări legate de Active Directory la această adresă care acoperă recuperarea în caz de dezastru, actualizarea la Windows Server Active Directory și instrumentele Active Directory Despre LabMice Active Directory (http://www labmice net/ActiveDirectory/default htm) Un site web care conține o colecție mare de link-uri către informații despre Active Directory În plus, conține link-uri către articole MS CV, documente oficiale și alte site-uri web Despre pagina personală a lui Robbie Allen (http://www rallenhome com/) Site-ul autorului cu informații despre cărțile pe care le-a scris despre Active Directory și link-uri pentru a descărca codul din acestea (inclusiv exemple din această carte) Lista de e-mail-uri Prin abonarea la aceste liste de corespondență, veți primi articole care vă vor ajuta să învățați și să lucrați cu Active Directory Despre ActiveDir (http://www activedir org/) Aici răspund la cele mai dificile întrebări despre Active Directory Proprietarul acestei liste de corespondență, Tony Murray (Topu Miggau), nu lasă niciun subiect important nesupravegheat Lista este foarte populară și o întrebare rară rămâne fără răspuns Destul de des, managerii de produse Active Directory de la Microsoft iau parte la ea, explicând cele mai dificile probleme Prin urmare, lista merită să vă abonați la fiecare administrator serios al Active Directory Aproximativ secunde (http:// seconds com/focus/ADSI htm) Abonarea la această listă de corespondență trebuie făcută în primul rând pentru dezvoltatorii de software La întrebări se răspunde foarte repede aici Grupuri de știri Pentru cele mai actualizate informații despre sistemul Active Directory, în special structura și instrumentele sale de administrare, vă rugăm să urmați linkurile de mai jos Despre mlcrosoft public win active dlrectory - Un grup de știri în care mai mulți experți Active Directory răspund la întrebările utilizatorilor Despre microsoft public win dns este o altă resursă excelentă pentru a pune întrebări despre DNS la care nu s-a răspuns în altă parte; este probabil ca cineva din acest grup să vă poată ajuta Despre microsoft public adsi general - Acesta este un grup de știri foarte popular unde puteți adresa întrebări despre utilizarea ADSI Dacă apare vreo întrebare, căutarea unui grup de știri adecvat poate fi începută utilizând motorul de căutare Google (http://groups google com/) Capitolul Recomandări generale Cărți Cărțile sunt surse tradiționale de informare, cât mai complete și variate Edițiile enumerate mai jos completează documentația furnizată în Kitul de resurse Despre Active Directory, ediția a doua de Robbie APep și Alistair Lowe-Norris, O'Reilly, este un bun manual general despre Active Directory În special, această ediție descrie inovațiile Windows Server , descrie modul în care sunt dezvoltate directoarele Active Directory, cum sunt efectuate upgrade-urile la Windows Server și este abordat subiectul automatizării Active Directory Despre gestionarea serviciilor Enterprise Active Directory de Robbie Allen și Richard Puckett de la Addison-Wesley este o resursă excelentă pentru oricine are nevoie să întrețină sisteme la scară largă Cartea enumeră beneficiile automatizării Active Directory pentru sisteme mari și include peste de scripturi scrise în Perl și VBScript Despre programarea Active Directory de Gil Kirkpatrick de la MacMillan este o carte grozavă pentru oricine este interesat de programarea cu ADSI și LDAP Autorul său este un specialist destul de cunoscut în acest domeniu Reviste Aceste link-uri vă vor duce către literatura de specialitate despre problemele pe care le puteți întâlni în timpul administrării Active Directory Despre Windows & NET Magazine (http://www winnetmag com/) - o revistă lunară pentru administratorii de sistem axată pe produsele Microsoft Aproape fiecare număr al acestei reviste conține articole despre Active Directory Despre Windows Scripting Solutions (http://www winscriptingsolutions com/) este un util lunar care discută despre scripturile utilizate în automatizarea diferitelor produse Microsoft, inclusiv Active Directory Păduri și domenii, trusturi Introducere Pentru profan, titlul acestui capitol poate părea un amestec ciudat de termeni fără legătură Cu toate acestea, un administrator Active Directory experimentat înțelege că acestea sunt concepte fundamentale și, poate, cele mai importante ale sistemului O pădure este un set de domenii, un domeniu este un set ierarhic de obiecte (fișiere, foldere, utilizatori, grupuri, imprimante, computere etc ) care pot fi replicate pe mai multe servere care acționează ca controlori de domeniu și o relație de încredere, sau încredere, - un acord între două domenii care oferă utilizatorilor, grupurilor și computerelor acces securizat la resursele din orice domeniu Numele de domenii Active Directory formează spațiile de nume DNS (Domain Name Service) Domeniile din același spațiu de nume DNS sunt considerate ca aparținând aceluiași arbore De exemplu, domeniile amer rallencorp com, erpea rallencorp sot și rallencorp com fac parte din arborele de domenii rallencorp com De obicei, există un singur arbore de domenii în sistem, dar în unele cazuri, cum ar fi rețelele de corporații mari conglomerate formate din mai multe companii individuale, pot fi mai multe De obicei, în astfel de cazuri, fiecare companie folosește propriile identificatori și propriul spațiu de nume Prin urmare, folosind exemplul unui conglomerat de companii, este convenabil să luăm în considerare relațiile dintre păduri, domenii, arbori de domenii și relații de încredere Să presupunem că fiecare companie dorește ca numele domeniului său Active Directory să se bazeze pe numele său În acest caz, domeniile pot fi organizate în două moduri: fie creați o singură pădure, care va include arbori de domenii de la diferite companii, fie creați mai multe păduri Alegând oricare dintre aceste soluții, trebuie să luați în considerare că toate domeniile dintr-o pădure au încredere unele în altele , în timp ce diferite păduri În mod implicit, nu au încredere unul în celălalt Și fără o astfel de relație de încredere, utilizatorii dintr-o pădure nu au acces la resursele alteia Deci, dacă doriți ca utilizatorii să poată lucra cu resursele întregii corporații, este mai bine să creați o singură pădure prin plasarea obiectelor companiei în arbori de domenii separate Între domeniile rădăcină Capitolul : Păduri și Domenii, Trusturi fiecare arbore stabilește o relație de încredere tranzitivă și, prin urmare, încrederea se extinde la toate domeniile din pădure, indiferent de nivelurile de cuibărit ale acestora Un exemplu de astfel de relații pentru trei arbori de domenii din pădurea rallencorp com este prezentat în Figura forest rallencorp honeycomb Orez Pădure cu arbori de domenii multiple Dacă alegeți soluția alternativă și creați mai multe păduri Windows Active Directory, atunci pentru a construi un model în care toate domeniile sunt conectate prin relații de încredere bidirecționale, trebuie să definiți relații de încredere individuale între domeniile acestor păduri În Windows Server , Active Directory acceptă un nou tip de încredere numită încredere forestieră, o încredere tranzitivă între două domenii rădăcină de pădure, prin care încrederea este stabilită între toate domeniile din ambele păduri Există o serie de factori de luat în considerare atunci când decideți câte păduri, domenii și copaci să creați pentru un anumit sistem Acest capitol descrie modul de rezolvare a problemelor comune legate de păduri, domenii și trusturi Dar, în primul rând, ne vom uita la aceste elemente organizaționale în sine și la modul în care sunt reprezentate în Active Directory Anatomia unui domeniu În Active Directory, domeniile sunt reprezentate de obiecte domainDNS Numele unui astfel de obiect corespunde numelui DNS complet (calificat) al domeniului De exemplu, obiectul care reprezintă domeniul amer rallencorp com ar fi dc^amer dc-ral- encorp,dc=*com Lista celor mai importante atribute ale obiectului domainDNS este dată în tabel Tabelul atributele obiectului domainDNS Descrierea atributului dc fSMORoleOwner Nume distinctiv relativ al domeniului (de exemplu, amer) Numele distinctiv al obiectului Setări NTDS al controlerului de domeniu care acționează ca emulator principal al controlerului de domeniu în acel domeniu Vezi și rețeta (capitolul ) Introducere Descrierea atributului gPLink Lista de GPO asociate cu acest domeniu În mod implicit, conține un link către GPO-ul de securitate al domeniului lockoutDuration Un număr întreg pe de biți care reprezintă perioada de timp în care contul va rămâne blocat înainte de a fi deblocat automat Vezi și rețeta (capitolul ) ockoutObservati onW ndow Un număr întreg pe de biți care reprezintă timpul scurs de la o încercare de conectare eșuată până la momentul în care contorul încercărilor de conectare a fost setat la Vezi și Rețeta (Capitolul ) lockoutThreshold Numărul de încercări eșuate de conectare înainte ca contul să fie blocat Vezi și rețeta (capitolul ) masteredBy Listă de obiecte Setări NTDS ale controlerelor de domeniu care fac parte din acest domeniu maxPwdAge Un număr întreg pe de biți care specifică numărul maxim de zile în care poate fi utilizată o parolă înainte de a fi schimbată Vezi și rețeta (capitolul ) minPwdAge Un număr întreg pe de biți care specifică numărul minim de zile în care trebuie utilizată o parolă înainte de a fi schimbată Vezi și rețeta (capitolul ) minPwdLength Numărul minim de caractere din parolă Vezi și rețeta (capitolul ) msDS-Behavour-Version Un număr care specifică nivelul de funcționalitate al domeniului Acest atribut a fost introdus în Windows Server Vezi și Rețeta ms-OS-Mach neAccountQuota Numărul de conturi de computer la care un utilizator non-administrator le poate alătura unui domeniu Vezi și Rețeta (Capitolul ) nTMixedDomain Un număr care specifică modul de operare al domeniului Vezi și Rețeta pwdHistoryLength Numărul de parole de utilizator de stocat pentru a împiedica utilizatorul să folosească una dintre parolele cele mai recente utilizate pwdProperties Un set de indicatori de biți care reprezintă setările de gestionare a parolei ale domeniului care determină complexitatea parolei și modul în care parolele criptate reversibil sunt stocate Vezi și rețeta (capitolul ) subRefs Atribut compus care conține o listă de contexte de denumire imbricate și secțiuni de aplicație wellKnownObjects GUID (Giobally Unique Identifier) al obiectelor binecunoscute, cum ar fi containerul implicit al computerului Capitolul Păduri și domenii, Trusturi În Active Directory, fiecare domeniu definește un context de denumire și corespunde unei anumite partiții de director Active Directory În containerul Partiții, în secțiunea de configurare, domeniile sunt reprezentate de obiecte crossRef Numele distinctiv relativ al obiectului crossRef este numele NetBIOS al domeniului, care este determinat de atributul netBIOSName al obiectului domeniu Deci, pentru domeniul amer rallencorp com din exemplul de mai sus (când numele pădurii este rallencorp com), locația obiectului crossRef corespunzător ar fi: cn=amer cn=Partit ons cn=Conflguration dc= rallencorp dc- com Lista celor mai importante atribute ale obiectului crossRef este dată în tabel Tabelul atributele obiectului crossRef Descrierea atributului SP Numele distinctiv relativ al obiectului Pentru un domeniu, acesta este numele NetBIOS al domeniului dnsRoot Numele distinctiv relativ al obiectului Pentru un domeniu, acesta este numele NetBIOS al domeniului nCName netBIOSName trustParent Nume complet calificat DNS al domeniului Numele distinct al obiectului corespunzător dcmainDNS Numele NetBIOS al obiectului crossRef care reprezintă domeniul părinte (dacă există) Anatomia unei relații de încredere Relațiile de încredere din Active Directory sunt reprezentate de obiecte trustedDomain stocate în containerul System al domeniului căruia este asociată relația Cele mai importante atribute ale obiectului trustedDomain sunt descrise în Tabelul Tabelul atributele obiectului trustedDomain Descrierea atributului SP Numele distinctiv relativ al trustului Este numele domeniului de încredere Pentru un domeniu Windows NT, acesta este numele NetBIOS; pentru un domeniu Active Directory, acesta este numele DNS trustDirection Un set de indicatori de biți care determină dacă relația este dezactivată, de ieșire, de intrare sau bidirecțională (bidirecțională) Vezi și rețetele și trustType Tip de relație: cu un domeniu de nivel inferior (NT ), un domeniu de nivel superior (Windows și versiuni ulterioare) sau Kerberos Vezi și rețeta trustAttributes Un set de proprietăți care pot fi setate pentru o anumită relație Vezi și Rețeta trustPartner Numele obiectului cu care se stabilește relația de încredere Vezi și rețeta Fiecare relație de încredere are un obiect utilizator asociat stocat în containerul Utilizatori care conține parola pentru relația respectivă Crearea unei păduri numele distinctiv al acestui obiect utilizator este valoarea atributului cn al obiectului trustedDomain corespunzător, cu un "$" adăugat la sfârșit anatomia pădurii O pădure este o structură logică care constă dintr-un set de domenii, contexte de configurare și schemă și partiții de aplicație Pădurile din Active Directory sunt considerate zone principale de protecție Cu alte cuvinte, dacă doriți să restricționați accesul la un anumit domeniu, astfel încât administratorii din alte domenii să nu poată lucra cu acesta, ar trebui să creați o pădure separată pentru acesta Dacă nu faceți acest lucru, adică includeți domeniul specificat în aceeași pădure cu alte domenii, relațiile tranzitive dintre toate domeniile din pădure vor oferi membrilor grupului Domain Admlns acces la acest domeniu Pădurile din Active Directory, spre deosebire de domenii și trusturi, nu sunt reprezentate de containere sau alte obiecte O pădure include cel puțin trei contexte de denumire și este reprezentată de trei partiții de director: domeniul rădăcină a pădurii, partiția de configurare și partiția de schemă Containerul Partiții în contextul de configurare conține lista completă a partițiilor asociate cu o anumită pădure Aceste diviziuni pot fi de următoarele tipuri Despre contextul de configurare Conține date care se referă la toate domeniile și, prin urmare, sunt replicate la fiecare controler de domeniu din pădure Exemplele includ informații despre topologia site-ului, o listă de OU, informații despre serviciile publicate, specificații de cartografiere și drepturi extinse Despre contextul Schemei Include obiecte care definesc modul în care datele sunt structurate și stocate în Active Directory Obiectele classSchema într-un context de schemă reprezintă definiții ale claselor de obiecte Obiectele AttributeSchema conțin informații despre ce date pot fi stocate în fiecare dintre clase Contextul schemei este replicat tuturor controlerelor de domeniu din pădure Despre contextul domeniului După cum sa menționat mai sus, un domeniu este un context de denumire pentru obiecte precum utilizatori, grupuri și computere Despre secțiunile de aplicație Partiții personalizate care pot locui în orice domeniu din pădure și pot replica la orice controler de domeniu Partițiile aplicației nu sunt acceptate în Windows Crearea unei păduri Problemă Doriți să creați o nouă pădure prin crearea unui nou domeniu rădăcină de pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați programul dcpromo din linia de comandă sau dintr-o fereastră deschisă cu comanda Start ► Run Capitolul : Păduri și Domenii, Trusturi Pe un controler de domeniu care rulează Windows , următorii pași ar trebui să fie următorii Setați butonul radio la Controler de domeniu pentru un nou domeniu și faceți clic pe butonul Următorul Setați butonul radio la Creare un nou arbore de domeniu și faceți clic pe butonul Următorul Selectați butonul radio Creați o nouă pădure de arbori dominați și faceți clic pe butonul Următorul Urmați instrucțiunile suplimentare ale expertului Pe un controler de domeniu care rulează Windows Server , trebuie să parcurgeți următorii pași Setați butonul radio la Controler de domeniu pentru un domeniu nou și faceți clic pe butonul Următorul Setați butonul radio la Domeniu într-o pădure nouă și faceți clic pe butonul Următorul Urmați instrucțiunile suplimentare ale vrăjitorului Folosind interfața liniei de comandă Programul dcpromo poate fi executat și în modul automat (batch) Mai multe despre asta în Rețeta (Capitolul ) Un comentariu Pentru a crea o pădure, trebuie mai întâi să-i creați domeniul rădăcină, pentru care, la rândul său, trebuie executat programul dcpromo, care vă permite să atribuiți un computer care rulează Windows sau Windows Server ca controler al unui nou domeniu Programul numit este implementat ca un vrăjitor și vă solicită să răspundeți la câteva întrebări despre pădure și domeniul pentru care serverul dat ar trebui să devină controler Când se termină, programul dcpromo vă solicită să reporniți computerul pentru a finaliza procesul Vezi si Rețeta este despre crearea unui domeniu, Rețeta (Capitolul ) este despre desemnarea unui controler de domeniu, iar Rețeta (Capitolul ) este despre automatizarea procesului de desemnare a unui controler de domeniu Vă recomandăm să citiți MS KB (CUM SE: promovează și retrogradează controlerele de domeniu în Windows ) Ștergerea unei păduri Problemă Trebuie să ștergeți o pădure care nu mai este necesară și domeniile pe care le conține Creați un domeniu Soluţie Pentru a șterge o pădure, trebuie să reatribuiți controlerele de domeniu rulând dcpromo pe fiecare dintre ele Când acest program este rulat pe un computer care este deja un controler de domeniu, vă solicită să desemnați acel computer ca server membru După finalizarea unei astfel de operațiuni, și în funcție de setările curente ale mediului, poate fi necesar să eliminați înregistrările WINS (Windows Internet Name Service - Internet Name Service pentru Windows) și înregistrările DNS asociate cu domeniile și controlerele acestora, cu excepția cazului în care acestea sunt eliminate automat Puteți utiliza următoarele comenzi pentru a determina dacă toate intrările au fost eliminate cu succes: > netsh câștigă serverul \\ show nare Ic > nslookup > nslookup -type-SRV ldap tcp dc jnsdcs > nslookup În plus, va trebui să eliminați orice trusturi stabilite pentru această pădure (vezi Rețeta ) Pentru mai multe informații despre retrogradarea unui controler de domeniu, consultați Rețeta (Capitolul ) Un comentariu Metoda de îndepărtare a pădurii descrisă mai sus este considerată cea mai convenabilă Același rezultat poate fi obținut și prin forța brută, pur și simplu prin reinstalarea sistemului de operare pe toate controlerele de domeniu din pădure Desigur, acest lucru nu ar trebui făcut - decât într-un sistem experimental Rețineți că, dacă utilizați a doua metodă, controlorii de domeniu "știu" despre îndepărtarea pădurii și vor da erori până când sistemele lor de operare sunt reinstalate În plus, va trebui să vă asigurați că înregistrările resurselor DNS create de controlorii de domeniu sunt șterse de la serverele DNS, deoarece controlorii de domeniu înșiși nu pot face acest lucru Vezi si Rețeta - vă arată cum să vizualizați informații despre relațiile de încredere ale unui anumit domeniu, Rețeta - vă arată cum să ștergeți relațiile de încredere, iar Rețeta - (Capitolul ) vă arată cum să retrogradați un controler de domeniu Creați un domeniu Problemă Este necesar să se creeze un nou domeniu - domeniul rădăcină al unui nou arbore sau doar un alt domeniu al unui arbore existent Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați programul dcpromo din linia de comandă sau din caseta de dialog deschisă prin comanda Start ► Run (Start ► Run) Pe un controler de domeniu care rulează Capitolul : Păduri și Domenii, Trusturi sub Windows , selectați butonul radio Controlerul de domeniu pentru un nou domeniu și faceți clic pe butonul Următorul Vi se va solicita să creați fie un nou arbore de domeniu, fie un domeniu secundar al unui arbore existent Mai mult, trebuie creat un nou copac într-o pădure funcțională Pe un controler de domeniu care rulează Windows Server , selectați butonul radio Controler de domeniu pentru un domeniu nou, apoi selectați una dintre cele trei setări: Domeniu într-o pădure nouă, Domeniu copil într-un arbore de domeniu existent sau Arbore de domeniu într-o pădure existentă Folosind interfața liniei de comandă Programul dcpromo poate fi rulat și în modul batch Consultați Rețeta (Capitolul ) pentru mai multe despre aceasta Un comentariu Programul dcpromo oferă două moduri de a crea un nou domeniu: prin adăugarea acestuia la un arbore existent sau prin crearea unui arbore nou Prima opțiune este pentru când doriți să creați un subdomeniu al unui domeniu existent, iar a doua opțiune este pentru crearea primului domeniu în pădure sau a unui domeniu în afara spațiului de nume al domeniului rădăcină a pădurii Cu fiecare domeniu nou, costul de întreținere a Active Directory crește din cauza timpului petrecut cu configurarea și întreținerea acelui domeniu și a controlerelor de domeniu alocate acestuia De aceea, atunci când proiectați o pădure Active Directory, încercați să minimizați numărul de domenii incluse în aceasta Vezi si Rețeta (Capitolul ) vorbește despre promovarea unui computer la un controler de domeniu, iar Rețeta (Capitolul ) vă spune cum să automatizați această sarcină Citiți MS KB (CUM PENTRU: promovați și retrogradați controlerul de domeniu în Windows ) și MS KB (CUM SE: Creați un domeniu copil în Active Directory și delegați spațiul de nume DNS în domeniul copil) Ștergerea unui domeniu Problemă Domeniul trebuie eliminat din pădure (poate ca parte a unui test de configurare sau în timp ce se reduce numărul de domenii din pădure) Soluţie Pentru a șterge un domeniu, trebuie mai întâi să retrogradați rolul tuturor controlerelor acestuia, rulând programul dcpromo pe fiecare dintre ele unul câte unul și urmând instrucțiunile vrăjitorului Când ștergeți ultimul domeniu, bifați caseta Ștergeți un domeniu care nu are controlere Acest server este ultimul controler de domeniu din domeniu care a eliminat toate obiectele asociate domeniului Dacă, din orice motiv, nu bifați caseta de selectare specificată, va trebui să ștergeți manual obiectele, așa cum se face în rețeta NOTĂ - - Dacă domeniul care este eliminat are subdomenii, acestea ar trebui să fie eliminate mai întâi După eliminarea tuturor controlerelor de domeniu și în funcție de configurația mediului dvs , va trebui să eliminați înregistrările WINS și DNS asociate controlerelor de domeniu și domeniilor, cu excepția cazului în care acestea au fost eliminate automat în timpul retrogradării controlerelor de domeniu Următoarea este o procedură care vă ajută să determinați dacă toate înregistrările au fost eliminate cu succes: > serverul netsh wins \\ arată calea -forest inya> Ic > nslookup > nslookup -type-SRV ldap tcp dc msdcs > nslookup În plus, ar trebui să eliminați orice încredere stabilită pentru acest domeniu (vezi Rețeta ) Pentru mai multe informații despre retrogradarea unui controler de domeniu, consultați Rețeta (Capitolul ) Un comentariu Metoda de defrișare cu forță brută descrisă în Rețeta nu este potrivită pentru ștergerea unui domeniu Când este utilizat, toate obiectele asociate cu acel domeniu sunt păstrate în pădure, iar mesajele de eroare de replicare apar în jurnalul de evenimente Vezi si Rețeta - vă spune cum să vizualizați informațiile de încredere în domeniu, Rețeta - vorbește despre eliminarea unei încrederi, iar Rețeta - (Capitolul ) vorbește despre retrogradarea unui controler de domeniu Vă recomandăm să consultați MS CV (CUM PENTRU: Promovarea și retrogradarea controlerelor de domeniu în Windows ) și MS CV (Retrogradarea Dcpromo a ultimului controler de domeniu în domeniul secundar nu reușește) Ștergeți un domeniu care nu are controlere Problemă Trebuie să ștergeți un domeniu care nu mai are controlere, deoarece caseta de selectare Acest server este ultimul controler de domeniu din domeniu nu a fost bifată când ultimul controler a fost retrogradat sau când domeniul a fost îndepărtat forțat sau a fost efectuată retrogradarea ultimului controler incorect Capitolul : Păduri și Domenii, Trusturi Soluţie Folosind interfața liniei de comandă Următoarele comenzi ntdsutil (îngroșate în cod) elimină domeniul emea rallencorp sot din pădurea rallencorp com Înlocuiți cu numele gazdei de operații flexibile pentru denumirea de domenii unică cu care este asociată această pădure >ntdsutil "meta clean" "so t" conn "con to server " qq metadate cleanup: "so t" "list domains" S-au găsit domenii - DC-rellencorp Dc-com - DC-amer,DC-rellencorp Dc-com - DC-emea DC-rellencorp dc-com - Dc-apac DC-rellencorp Dc-com select operațion target:sel domain Niciun site actual Domeniu - DC-emea dc-rellencorp dc-com Niciun server actual Nu există context de denumire actual Selectați ținta operației: q Curățarea metadatelor: eliminați domeniul sel Ca urmare, veți primi un mesaj cu informații despre dacă ștergerea a avut succes Un comentariu Ștergerea unui domeniu care nu mai are controlere este un proces în doi pași: în primul rând, obiectul care reprezintă domeniul (adică dc-amea,dc-ra encorp dc=com) este șters și apoi toate obiectele sale fii și asociat cu acesta obiectul crossRef din containerul Partitions Când utilizați utilitarul ntdsuti , trebuie să specificați masterul de numire a domeniului, deoarece acest server este responsabil pentru crearea și ștergerea domeniilor Soluția de mai sus a folosit nume de parametri scurtate Dacă le introduceți în întregime, comenzile vor arăta astfel: >ntdsutil "meta curățare" "selectați ținta operației" conexiuni "conectare la server ieșire ieșire curățarea metadatelor "selectați ținta operației" "lista domeniilor" S-au găsit domenii - DC-rellencorp Dc-com - DC-amer DC-rellencorp Dc-com - DC-emea DC-rellencorp Dc-com - Dc-apac dc-rellencorp dc-com selectați ținta operațiunii selectați domeniul Niciun site actual Domeniu - DC-emea dc-rellencorp dc-com Niciun server actual Nu există context de denumire actual Selectați ținta operației: q Curățarea metadatelor: eliminați domeniul selectat Căutând domenii în pădure Vezi si Rețeta (Capitolul ) vă spune cum să eliminați un controler de domeniu care nu a fost retrogradat corect În plus, vă recomandăm să vă familiarizați cu documentele MS KB (H W TO: Eliminați domeniile orfane din Active Directory), MS KB (CUM SE: Eliminați domeniile orfane din Active Directory fără a retrograda controlerul de domeniu) și MS KB (Dcpro-mo Retrogradarea ultimului controler de domeniu din domeniul copil nu reușește) Căutând domenii în pădure Problemă Doriți să afișați o listă cu toate domeniile dintr-o anumită pădure în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Domains and Trusts Panoul din stânga afișează o listă de domenii din pădurea implicită Folosind interfața liniei de comandă > tdsuti "d pg "sel of tsr" cu "co ts " q ' d" qqq Cu VBScript ' Acest cod returnează o listă de domenii forestiere ' în care utilizatorul care execută scriptul este conectat set objRootDSE - GetObject('LDAP://RootDSE") strADsPath - " ntdsutll conexiuni "managementul domeniului" "selectați ținta operației" d "conectați-vă la serverul " ieșiți "List domains" qult ieșiți Spre o soluție cu VBScript Această soluție se bazează pe interogarea ADO în catalogul global de obiecte domainDNS Contextul de denumire în care urmează să fie efectuată căutarea este contextul domeniului Interogarea returnează o listă cu toate domeniile din pădure Pentru a obține o listă de domenii dintr-o altă pădure, trebuie să specificați numele acestei păduri în prima linie de cod De exemplu, următorul rând specifică o căutare în directorul forestier othercorp com: set objRootDSE - GetObjectf"LDAP://othercorp com/" și "RootDSE") Vezi si Rețeta (Capitolul ) descrie cum să obțineți o listă de controlere de domeniu pentru un anumit domeniu Determinarea numelui de domeniu NetBIOS Problemă Trebuie să știți numele NetBIOS al domeniului Deși DNS este acum mijlocul principal de rezoluție a numelor, numele de domeniu NetBIOS este încă important, mai ales pentru clienții care folosesc NetBIOS (mai degrabă decât DNS) pentru denumire Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Domains and Trusts În panoul din stânga, marcați domeniul care vă interesează, faceți clic dreapta pe el și selectați Proprietăți din meniul care se deschide Câmpul Domain name (pre-Windows ) va conține numele NetBIOS al domeniului Codul, împărțit în linii folosind semnul L, trebuie introdus pe o singură linie Redenumirea domeniului Folosind interfața liniei de comandă > dsquery * cnepartitions?cn"Configuration -filter "(&(jbjectcategory-crossref)(dnsroot- ') (netbiosname-*))" -attr netbiosname Cu VBScript * Acest cod afișează numele NetBIOS al domeniului dat ' SCRIPT CQNFIGURARE strDomain - "ONS-rome inya>' ' De exemplu: amer ral encorp corn ' FĂRĂ CONFIGURARE - - set objRootDSE - GetObject("LDAP://" & strDomaln & "/RootDSE") strADsPath - " dsquery * -scope base -attr ntMixedDomain Ca o soluție alternativă, puteți utiliza comanda: > enumprop /ATTR ntMixedDomain "LDAP:// n Pentru a schimba modul în cel principal, creați un fișier change domain mode ldf cu următorul conținut: dn: changetype: modifică înlocuiți: ntMixedDomain ntMixedDomain: Apoi rulați comanda Id fde pentru a importa informațiile din fișierul LDIF: > Idifde - -f mod mod domeniu ldf Capitolul : Păduri și Domenii, Trusturi Cu VBScript ' Acest cod schimbă modul de operare al domeniului specificat în principal • CONFIGURARE SCRIPT strDomaln - " " ' De exemplu: afner rallencorp com Sfârșitul configurației set objDomain - GetObject ("LDAP://" și strDomain) if objDomain GetC'nTMixedDomain") > O Apoi Wscript Echo "Se schimbă modul în nativ " objDomain Pune "nTMixedDomain" Despre objDomain SetInfo el se Wscript Echo "Deja un domeniu în mod nativ" se încheie dacă Un comentariu Modul funcțional al domeniului limitează alegerea sistemului de operare pe care îl rulează controlerele de domeniu De exemplu, când se utilizează modul mixt, controlerele de domeniu pot rula Windows sau Windows NT Cu toate acestea, dacă modul nativ este setat la Windows , este permis Windows (și Windows Server ), dar dacă modul este setat la Windows Server , este permis doar acel sistem de operare Există câteva diferențe importante între modul mixt Windows și modul nativ În special, modul mixt impune următoarele restricții asupra unui domeniu: Un domeniu nu poate conține grupuri de securitate universale; o Nu este permisă modificarea tipului sau domeniului de aplicare a grupurilor de domenii; Un domeniu nu trebuie să conțină grupuri imbricate (cu excepția grupurilor globale din grupurile locale de domeniu); • Modificările contului care sunt direcţionate către controlerele de domeniu standby, inclusiv parolele modificate, trebuie să treacă prin emulatorul PDC; Un domeniu nu poate utiliza jurnalul ID de securitate (SID); Un domeniu O nu poate folosi pe deplin proprietatea de tranzitivitate a unei relații Dacă schimbați modul de operare al domeniului în principal, nu îl puteți reveni la modul anterior În mod implicit, domeniile funcționează în mod mixt, chiar dacă toate controlerele lor sunt gestionate de sistemul de operare Windows sau Windows Server Modul de operare al domeniului este setat în atributul ntMixed-Domain al obiectului domeniu (de exemplu: dc= amer,de-ha encorp,dc^ com) O valoare de pentru acest atribut reprezintă modul nativ Windows , iar o valoare de reprezintă modul mixt Pentru mai multe informații despre modurile funcționale ale domeniului Windows Server , consultați Rețetele și Pregătirea unui domeniu sau pădure pentru tranziția la modul Windows Server Vezi si Rețeta - vă arată cum să creșteți funcționalitatea unui domeniu, iar Rețeta - vă arată cum să creșteți funcționalitatea unei păduri Citiți documentul MS KB (Moduri acceptate de controlerele de domeniu Windows ) Utilizarea utilitarului adprep pentru a pregăti un domeniu sau o pădure pentru tranziția la modul Windows Server Problemă Controlerele de domeniu Active Directory existente pe Windows trebuie să instaleze sistemul de operare Windows Server Dar mai întâi, trebuie să extindeți schema utilizând instrumentul adprep pentru a adăuga câteva obiecte la Active Directory care sunt necesare pentru a introduce noi caracteristici și îmbunătățiri Soluţie Pe schema principală, rulați următoarea comandă ca un cont care este membru al grupurilor Administratori de întreprindere și Administratori de schemă: > adprep /forestprep După ce actualizările specificate de cheia /forestprep au fost replicate în întreaga pădure (vezi Rețeta ), pe masterul infrastructurii al fiecărui domeniu, rulați următoarea comandă ca cont care este membru al grupului Administratori de domeniu: > adprep /domainprep Dacă actualizările identificate de cheia /forestprep nu sunt replicate cel puțin către masterii de infrastructură ai fiecărui domeniu, a doua dintre comenzile de mai sus va eșua În acest caz, primul pas pentru a rezolva problema este examinarea fișierelor jurnal aflate în directorul /oSystemRoot%\System \Debug\Adprep\Logs NOTĂ - - Programul adprep se află pe CD-ul Windows Server în folderul \I Folosește mai multe fișiere din acest director pentru a funcționa, așa că nu poate fi pur și simplu copiat pe server Puteți rula programul fie de pe un CD, fie de pe hard disk-ul serverului, după ce ați copiat în prealabil întregul director Un comentariu Comanda adprep pregătește pădurea și domeniile Windows pentru migrarea la Windows Server Dar înainte de a instala pe orice controler de domeniu Capitolul : Păduri și Domenii, Trusturi noul sistem de operare sau pentru a vă alătura noilor controlere de domeniu care rulează Windows Server la o pădure sau un domeniu existent, trebuie să rulați acest program cu comutatoarele /forestprep și /domainprep Trebuie remarcat faptul că comanda adprep îndeplinește aproape aceeași funcție ca și comenzile setup /forestprep și setup /domainprep din Exchange , care pregătesc domeniul forestier și Active Directory pentru instalare De exemplu, comanda adprep /forestprep extinde schema și modifică unii descriptori de securitate, așa că trebuie să fie rulată pe schema master și ca un cont care este membru al grupurilor Enterprise Admins și Schema Admins În plus, comenzile adprep /forestprep și adprep /domainprep adaugă obiecte la catalogul forestier, dintre care multe sunt necesare pentru a profita de noile caracteristici acceptate de Windows Server Active Directory Dacă software-ul Exchange sau Services For Unix a fost instalat în pădure înainte de a rula adprep, trebuie să rezolvați conflictele de schemă curente cu extensiile de schemă instalate de adprep Aceste probleme de compatibilitate și altele similare cu acestea sunt discutate în detaliu în documentele MS KB și MS KB Vezi si Rețeta vă spune cum să determinați dacă comanda adprep a fost finalizată cu succes Vă recomandăm să citiți MS KB (Windows Server ADPREP Command Causes Mangled Attributes in Windows Forest That Contain Exchange Servers) și MS KB (Cum se face upgrade Windows Domain Controllers la Windows Server ) unsprezece Cum să verificați dacă comanda adprep a avut succes Problemă Doriți să determinați dacă programul adprep din Recipe a pregătit cu succes un domeniu sau o pădure Windows pentru migrarea la Windows Server Soluţie Pentru a vedea dacă comanda adprep /domainprep a fost finalizată cu succes, verificați dacă domeniul cn=Windows Update cn "DomainUpdates" există sau Systern (unde este numele distinctiv al domeniului) În mod similar, pentru a verifica dacă comanda adprep /forestprep a fost finalizată cu succes, trebuie să verificați dacă domeniul rădăcină a pădurii există cn-Windows -Update cn= ForestUpdates cn= Conf guration, (unde este numele distinctiv al domeniului rădăcină a pădurii) Cum să verificați dacă comanda adprep a avut succes Un comentariu Așa cum este descris în Rețeta - , adprep este proiectat pentru a pregăti o pădure Windows pentru migrarea la Windows Server Unul dintre avantajele sale este că stochează informațiile sale de progres în Active Directory Când este invocat cu opțiunea /domainprep, un container este creat cu nume distins cn"Doma i nllpdates cn-Doma și nUpdates, cn=System, și containere copii cn= perations și cn=Windows Update Când activitatea sa principală (extinderea schemei) este completă, adprep va crea un obiect care indică spre el în containerul cnOperations Fiecare obiect din acest container reprezintă una dintre operațiile de adprep Când programul este executat cu cheia /domainprep, sunt create de astfel de obiecte Când toate operațiunile sunt finalizate, obiectul cnraWindows -Update va fi creat, astfel încât prezența acestui obiect poate fi luată ca un semn că programul adprep s-a finalizat cu succes Conținutul containerului cn=Operations creat de comanda adprep /domainprep este prezentat în Fig Orez Containerul cn=Operations după executarea programului adprep cu comutatorul /domainprep După rularea adprep cu comutatorul /forestprep, este creat un container cu numele distinctiv cn"ForestUpdates cn"Configuration Acesta, ca și în cazul precedent, conține un container copil cn=Operatlons, care include de obiecte reprezentând operații Când se termină, programul creează un cn"Windows Update Conținutul containerului sporeg-tlons creat de comanda adprep /forestprep este prezentat în Figura - Capitolul : Păduri și Domenii, Trusturi Pentru a crește funcționalitatea domeniului la Windows Server , creați un fișier raise dornain funcjevel ldf cu următorul conținut: dn: changetype: modifică înlocuiește: msDS-Behavior-Version msDS-Behavior-Version: Apoi rulați comanda Idifde pentru a importa informațiile din fișierul LDIF - > Idifde - -f raise domain func level Idf Cu VBScript ' Acest cod traduce domeniul dat ' la nivelul caracteristicilor Windows Server ■ - CONFIGURARE SCRIPT strDomain - " ' De exemplu: amer rallencorp com ' TERMINAREA CONFIGURĂRII - set objOomain - GetObjectCLDAP //" și strDomain) objOomain GetInfo if objOomain GetC'msDS-Behavior-Version") o atunci Wscript Echo "Schimbarea domeniului la nivelul funcțional Windows Server " objOomain Put "msDS-Behavior-Version" objOomain SetInfo el se Wscript Echo ''Domeniu deja la nivel de funcțional Windows Server " se încheie dacă Un comentariu În Windows Server Active Directory, conceptul de "nivel funcțional de domeniu" utilizat în Windows a fost înlocuit cu conceptul de "nivel funcțional de domeniu", ceea ce reflectă faptul că funcțiile sunt disponibile la un nivel superior care nu sunt suportate la nivelurile inferioare În același timp, în Windows Server există niveluri funcționale dohman și niveluri funcționale forestiere, în timp ce moduri de operare în Windows se aplică doar domeniilor Nivelul funcțional curent al domeniului este specificat în atributul msDS-Behavior-Version al obiectului domalnDNS (de exemplu, dc=amer,dc=ra encorp dc-com) În tabel Nivelurile funcționale ale domeniului sunt listate cu valorile atributelor respective msDS-Behavior-Version și versiunile sistemului de operare care pot fi utilizate pe controlerele de domeniu Tabelul Niveluri funcționale ale domeniului Windows Server Valoarea atributului nivel funcțional msDS-Behavior-Version Sisteme de operare acceptate Windows Windows Windows NT (în modul mixt) Windows Server Actualizarea nivelului funcțional Forest la Windows Server Valoarea atributului nivel funcțional msDS-Behavior-Version Sisteme de operare acceptate Windows Server Windows NT (intermediar) Windows Server Windows Server Windows Server La nivelul funcțional Windows , un domeniu poate rula în modul mixt sau în modul nativ Windows (vezi Rețeta ) Caracteristici suplimentare Windows Server Active Directory sunt disponibile la fiecare nivel succesiv NOTĂ - - Unul dintre avantajele efectuării acestei sarcini folosind GUI este capacitatea de a salva un jurnal de ieșire cu informații despre erorile care au apărut Vezi si Rețeta - este despre schimbarea nivelului funcțional al domeniului, Rețeta - este despre pregătirea unei păduri cu adprep, iar Rețeta - este despre ridicarea nivelului funcțional al pădurii Vă rugăm să consultați documentul MS KB (CUM SĂ: Ridicați nivelurile funcționale de domeniu și pădure în Windows Server ) Actualizarea nivelului funcțional Forest la Windows Server Problemă Doriți să vă actualizați pădurea la Windows Server După ce ați creat un nou domeniu Windows Server sau ați actualizat un domeniu Windows , ar trebui să finalizați această procedură cât mai curând posibil pentru a obține acces la noile caracteristici și funcționalități Windows Server Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe componenta Active Directory Domains and Trusts și selectați Raise Forest Funcționai Level În fereastra care se deschide, selectați modul Windows Server și faceți clic pe butonul OK (Modificare) După câteva secunde, pe ecran va apărea un mesaj care indică dacă operația specificată a fost finalizată cu succes Capitolul : Păduri și Domenii, Trusturi Folosind interfața liniei de comandă Pentru a afla ce nivel de funcționalitate este actual, trebuie să rulați comanda > dsquery * -scope base -attr msDS- ehavior-Verșion Ca o soluție alternativă, puteți utiliza comanda > epigorgor /ATTR msDS-Behavior-VersIon "RSA:// " Pentru a ridica nivelul de funcționalitate al pădurii la Windows Server , creați fișierul raise forest func level ldf: dn: cn=pa rt i t ons cn-configurat on, changetype: modify replace: msDS-Behavior-Version msDS-Behavior-Version: Rulați comanda Idifde pentru a vă importa modificarea: > Idifde -i -f raise forest func level Idf Cu VBScript Acest cod traduce pădurea în care este înregistrat interpretul "Utilizator de script, conform nivelului funcțional Windows Server set objRootDSE = GetObject("Africa de Sud- //RootDSE") set objDomain - GetObject("Africa de Sud //cn-partitions " & objRootDSE Get("conflgurationNamingContext")) f objDomain Get("msDS-Behavior-Version") o apoi Wscript Echo "Tempting to change forest to " & "Windows Server functionl level " objDomain Put "msDS-Behavior-Version" objDomain SetInfo el se Wscript Echo "Pădurea deja la nivelul funcțional Windows Server " se încheie dacă Un comentariu Nivelurile funcționale ale unei păduri Windows Server sunt similare cu nivelurile funcționale ale unui domeniu și cu informațiile din tabel se aplică și pădurilor, cu singura diferență că lista de sisteme de operare acceptate nu se aplică unui singur domeniu, ci tuturor domeniilor din pădure Prin urmare, dacă cel puțin unul dintre domeniile din pădure rulează la nivelul funcțional Windows , nivelul funcțional al pădurii nu poate fi ridicat peste Windows Dacă încercați să faceți acest lucru, veți primi un mesaj de eroare care spune că operația ar putea să nu fie completată După ce toate domeniile din pădure au fost promovate funcțional la Windows Server , nivelul funcțional al pădurii poate fi promovat Vă întrebați de ce a fost necesar să se introducă două operații diferite - creșterea nivelului funcțional al domeniului și creșterea nivelului funcțional al tes-ului? Motivul principal este noile caracteristici ale Windows Ser- Active Directory Unele dintre ele aparțin domeniului și pot fi folosite Stabilirea unei relații de încredere cu condiția ca numai domeniul să ruleze la nivelul funcțional corespunzător, în timp ce altele necesită ca întreaga pădure să ruleze la nivelul Windows Server Nivelul funcțional al pădurii este setat în atributul msDS-Behavior-Version al containerului Partiții, care este stocat în partiția de configurare De exemplu, într-o pădure de fagure rallencorp, acest atribut ar aparține obiectului cn-partitions cn-configuration,dc=raHencorp,dc-com O copie a valorii atributului msDS-Behavior-Version este, de asemenea, conținută în atributul forestFunctionallty al obiectului RootDSE, astfel încât nivelul funcțional al pădurii poate fi obținut prin interogarea obiectului NOTĂ - Unul dintre avantajele ridicării nivelului funcțional al pădurii folosind GUI este capacitatea de a salva un jurnal de ieșire al erorilor care au apărut Vezi si Rețeta - vorbește despre schimbarea nivelului funcțional al domeniului, rețeta vorbește despre pregătirea pădurii cu adprep, iar rețeta - vorbește despre ridicarea nivelului funcțional al domeniului Citiți, de asemenea, MS CV (CUM PENTRU: Ridicați nivelurile funcționale de domeniu și pădure în Windows Server ) Stabilirea relațiilor de încredere între domeniile Windows NT și Active Directory Problemă Doriți să stabiliți o relație de încredere unidirecțională sau bidirecțională netranzitivă între un domeniu Active Directory și un domeniu Windows NT Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul domeniului cu care doriți să stabiliți o relație de încredere și selectați comanda Properties din meniul contextual care se deschide Deschideți fila Trusturi și faceți clic pe butonul New Trust Când începe Expertul pentru crearea unei noi încrederi, faceți clic pe butonul Următorul din prima fereastră Pe pagina Trust, introduceți numele NetBIOS al domeniului Windows NT, apoi faceți clic pe butonul Următorul Capitolul : Păduri și Domenii, Trusturi Dacă numele NetBIOS al domeniului Windows NT se rezolvă cu succes, se deschide pagina Trust direct Selectați direcția de încredere dorită: bidirecțională, unidirecțională incomlng sau unidirecțională de ieșire Faceți clic pe butonul Următorul Dacă ați selectat încredere de ieșire bidirecțională sau unidirecțională, specificați domeniul de autentificare (întregul domeniu sau anumite domenii) și faceți clic pe butonul Următorul Introduceți și apoi repetați parola pentru noua încredere și faceți clic pe butonul Următorul Faceți dublu clic pe butonul Următorul pentru a finaliza expertul Folosind interfața liniei de comandă > netdcm trust /domain ZADD [ZUserD: \WZZer ZPasswordD:*] C/UserO:: \KT i$er ZPasswordD:*] [ZWOWAY] De exemplu, pentru a crea o încredere care leagă un domeniu RALLEN-CORP N (NT ) la un domeniu RALLENCORP (Active Directory), veți rula următoarea comandă: > netdom încredere în RALLENCORF NT /domain:RALLENCORP /ADD ZUserD: RALLENCORPXadministrator ZPasswordD:* ZUserD :RALLENC RP NT \administrator /PasswordO-* O relație de încredere poate fi făcută bidirecțională, adică bidirecțională, pentru care comutatorul /TwoWay trebuie adăugat la comanda de mai sus Un comentariu La migrarea dintr-un mediu Windows NT la Active Directory, relațiile de încredere sunt adesea stabilite cu domenii de resurse sau domenii care sunt master de cont de nivel scăzut Acest lucru permite utilizatorilor Active Directory să acceseze resursele domeniului Windows NT fără a furniza un nume de utilizator și o parolă diferite Deoarece Windows NT nu acceptă încredere tranzitivă, trebuie doar să creați o încredere netranzitivă Prin urmare, trebuie să definiți separat relația dintre domeniul Wmdows NT și fiecare domeniu Active Directory care include utilizatorii cărora doriți să le acordați acces la resursele Windows NT Vezi si MS KB (CUM SE: Stabilirea încrederilor cu un domeniu bazat pe Windows NT în Windows ), MS KB (CUM SĂ Configurați o încredere non-tranzitivă unidirecțională în Windows ), MS KB (CUM SE: Stabilirea Încrederi cu un domeniu bazat pe Windows NT în Windows Server ) și MS KB (CUM SE: Creați o încredere externă în Windows Server ) Creați o încredere tranzitivă între două păduri Active Directory E Creați o încredere tranzitivă între două păduri Active Directory Problemă Doriți să creați o relație de încredere tranzitivă între două păduri Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe domeniul rădăcină a pădurii și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Trusturi și faceți clic pe butonul New Trust Când începe Expertul New Trust Creation, faceți clic pe butonul Următorul din prima fereastră În pagina Încredere, introduceți numele DNS al pădurii Active Directory, apoi faceți clic pe butonul Următorul În pagina Tip de încredere, setați butonul radio la Încredere în pădure, faceți clic pe butonul Următorul, apoi urmați expertul Folosind interfața liniei de comandă > netdom trust /Domain O/V -forest in > /Twoway /Transitive /ADD [UserD administrator neca >ZPasswordD *] [UserO ZPasswordO:*] De exemplu, pentru a crea o încredere bidirecțională care leagă forest rallencorp honeycomb la forest othercorp com (Active Directory), veți rula următoarea comandă: > netdom trust rallencorp com /Domain:othercorp com /Twoway /Transitive /ADD [UserD: administrator@othercorp corn ZPasswordD:*] [UtilizatorO administrator@rellencorp com ZPasswordO *] Un comentariu Windows Server introduce un nou tip de încredere numită încredere forestieră Anterior, în Windows , pentru a crea un mediu în care două păduri au încredere deplină una în cealaltă, era necesar să se stabilească încrederi externe separate în două sensuri între fiecare pereche de domenii din acele păduri Astfel, dacă fiecare pădure avea trei domenii, erau necesare nouă relații separate (Figura - ) Sarcina poate fi finalizată numai dacă ambele păduri rulează la nivelul funcțional Windows Server Capitolul : Păduri și Domenii, Trusturi Păduri pădure Domeniul rădăcină A Domeniul rădăcină B Domeniul A Domeniul A Domeniul B Domeniul B J Trusturi externe bidirecționale Orez Relații de încredere necesare pentru a crea o încredere deplină între două păduri Windows Atunci când se stabilește o nouă formă de încredere - un trust forestier - este suficient să se definească o singură încredere tranzitivă unidirecțională sau bidirecțională care se va propaga automat în toate domeniile din ambele păduri (Figura ) Acest tip de încredere poate fi util, de exemplu, în cazurile în care, după fuziunea a două companii, utilizatorilor acestora trebuie să li se acorde acces la toate resursele internetwork-ului Pentru a crea o încredere forestieră în fiecare dintre ele, va trebui să utilizați un cont din grupul Enterprise Admins Orez Relație de încredere pentru a crea o încredere deplină între două păduri Windows Server Creați o încredere redusă între două domenii Active Directory Creați o încredere redusă între două domenii Active Directory Doriți să creați o relație de încredere tranzitivă între două domenii Active Directory care fac parte din aceeași pădure sau din păduri diferite Încrederile reduse simplifică autentificarea între două domenii dintr-o pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu cu care doriți să stabiliți o relație de încredere și selectați Proprietăți din meniul contextual care se deschide Accesați fila Trusturi și faceți clic pe butonul New Trust Când începe Expertul pentru crearea unei noi încrederi, faceți clic pe butonul Următorul din prima fereastră În pagina Încredere, introduceți numele DNS al domeniului Active Directory, apoi faceți clic pe butonul Următorul Dacă numele de domeniu DNS pe care l-ați introdus este rezolvat cu succes, se deschide pagina de direcție de încredere Setați comutatorul în poziția bidirecțională și faceți clic pe butonul Următorul Pe pagina Proprietăți de încredere în ieșire, selectați resursele care urmează să fie autentificate și faceți clic pe butonul Următorul Introduceți și repetați parola pentru noua încredere, apoi faceți clic pe butonul Următorul Faceți dublu clic pe butonul Următorul pentru a finaliza expertul Folosind interfața liniei de comandă > netdom trust ONS-romanname > /yamatig\: /Twoway /ADD [ZUserD: /PasswordO:*] u$er$: /PasswordO:*] De exemplu, dacă doriți să creați un trust de scurtă durată care leagă domeniul celulei eea ral encorp de domeniul apac rallencorp com, executați comanda: > netdom trust emea rallencorp com /Domain:aras rallencorp com /Twoway /ADD [/UserD:administrator@apac ral encorp com ZPasswordD *] [ZUserO adm nistrator@emea rallencorp com /PasswordO *] Un comentariu Luați în considerare pădurea prezentată în fig Are un arbore, care constă din cinci domenii Pentru ca domeniul să proceseze cererile de autentificare destinate domeniului , fiecare cerere trebuie să urmeze următoarea cale: de la domeniul la domeniul , apoi la domeniul , la domeniul și în final Capitolul : Păduri și Domenii, Trusturi la domeniul După cum puteți vedea, calea este destul de lungă și, pentru a o reduce la o singură tranziție de la domeniul la domeniul , trebuie să creați o încredere scurtată Pentru a face acest lucru, trebuie să fiți membru al grupului Administratori de domeniu din ambele domenii sau membru al grupului Administratori de întreprindere Păduri Fig Încredere redusă Înființarea Kerberos Realm Trust Problemă Trebuie să creați o încredere pentru domeniul Kerberos în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu cu care doriți să stabiliți o relație de încredere și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Trusturi și faceți clic pe butonul New Trust Când începe Expertul pentru crearea unei noi încrederi, faceți clic pe butonul Următorul din prima fereastră Pe pagina Trust, introduceți un nume pentru domeniul Kerberos și faceți clic pe butonul Următorul Vedeți relațiile de încredere în domeniu Pe pagina Tip de încredere, selectați butonul radio Realm Trust și faceți clic pe butonul Următorul Selectați încrederea Transibve sau Nontransitive și faceți clic pe butonul Următorul În pagina de direcție de încredere, selectați butonul radio Bidirecțional, Intrare unică sau Ieșire unidirecțională, apoi faceți clic pe butonul Următorul Introduceți și repetați parola pentru noua încredere, apoi faceți clic pe butonul Următorul Faceți mai întâi clic pe butonul Următorul și apoi pe butonul Terminare Folosind interfața liniei de comandă > netdom are încredere în OP -object name pentru a adăuga> /Domain [Realm /ADD /PasswordT: /PasswordO:*] Parametrul trebuie să se potrivească cu parola din partea Kerberos De exemplu, pentru a crea un domeniu de încredere care leagă domeniul celulei ral encorp și domeniul kerb rallencorp com, veți rula următoarea comandă: > netdom trust rallencorp com /Domain:kerb rallencorp com /Realm /ADD /PasswordT:MyKerbRealmPassword /UserO:administrator@ral encorp corn /PasswordO:* Un comentariu O încredere în domeniul Kerberos poate fi creată între un domeniu Active Directory și un domeniu Kerberos V non-Windows Acesta va permite clienților dintr-un anumit domeniu să acceseze resursele Active Directory și, dimpotrivă, resursele Active Directory către clienții domeniului Pentru mai multe informații despre interacțiunea dintre MIT Kerberos și Active Directory, consultați Rețeta (Capitolul ) Vezi si Documente MS KB (Informații despre tranzitivitatea unui Kerberos Realm Trust) și MS KB (Răspunsuri la întrebările frecvente Kerberos) Vedeți relațiile de încredere în domeniu Problemă Doriți să vedeți o listă de relații de încredere pentru un anumit domeniu Capitolul : Păduri și Domenii, Trusturi Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu ale cărui relații de încredere doriți să le vizualizați și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Trusturi și faceți clic pe butonul New Trust Folosind interfața liniei de comandă > încredere interogare netdom /Domeniu:ON -nume domeniu> Cu VBScript ' Acest cod listează trusturile pentru data dată • - CONFIGURARE SCRIPT - strDomain - "ONS-umb rome>" ' De exemplu: rallencorp com ' -Sfârșitul configurării - ' Constante reprezentând direcția relației (preluate din NTSecAPI h) set objTrustDirectionHash - CreateObjectCScripting DIctionary") objTrustDirectionHash Adăugați "DIRECTIONJHSABLED" ObjTrustDirectionHash Adăugați "DIRECTIONJNBOUND", objTrustDirectionHash Add "DIRECTIONjDUTBOUND", ObjTrustDirectionHash Adăugați "DIRECTIONJSIDIRECTIONAL" * Constante reprezentând tipul de relație (preluate din fișierul NTSecAPI h) set objTrustTypeHash - CreateObjectC'Scripting Dictionary") ObjTrustTypeHash Adăugați "TYPE DOWNLEVEL" ObjTrustTypeHash Adăugați "TYPEJJPLEVEL" ObjTrustTypeHash Adăugați "TYPEJIIT" objTrustTypeHash Adăugați "TYPE DCE" Constante reprezentând atribute de relație (preluate din fișierul NTSecAPI h) set objTrustAttrHash - CreateObjectCScripting Dictionary") objTrustAttrHash Adăugați "ATTRIBUTES NON TRANSITIVE" objTrustAttrHash Adăugați "ATTRIBUTESJJPLEVEL-ONLY" ObjTrustAttrHash Adăugați "AnRIBUTESJ]UARANTINED DOMAlN" ObjTrustAttrHash Adăugați "ATTRIBUTES FORESTTRANSITIVE" ObjTrustAttrHash Add "ATTRIBUTES CROSS ORGANIZATION", ObjTrustAttrHash Adăugați "ATTRIBUTES WITHIN FOREST" ObjTrustAttrHash Add "ATTRIBUTES TREAT AS EXTERNAL", set objRootDSE - GetObjectCLDAP://" & strDomain & "/RootDSE") set objTrusts - GetObjectCLDAP:Z/cn-System " & objRootDSE Get("defaultNamingContext") ) objTrusts FiIter - Array("trustedDomain") Wscript Echo "Trusts for" & strDomain & pentru fiecare objTrust în objTrust Vedeți relațiile de încredere în domeniu pentru fiecare strFlag În objTrustDirectionHash Keys dacă objTrustDirectionHash(strFlag) - objTrust GetCtrustDirection") atunci strTrustInfo - strTrustInfo & strFlag & " " end If Următorul pentru fiecare strFlag În objTrustTypeHash Keys dacă objTrustTypeHash(strFlag) - objTrust Get("trustType"), atunci strTrustInfo - strTrustInfo & strFlag & " " sfârşitul Dacă Următorul pentru fiecare strFlag În objTrustAttrHash Keys f objTrustAttrHash(strFlag) = objTrust Get("trustAttr butes") apoi strTrustInfo - strTrustInfo & strFlag & " " sfârşitul Dacă Următorul WScript Echo " * & objTrust Get("trustPartner") & " : " & strTrustInfo strTrustInfo " "" Următorul Un comentariu Spre o soluție cu o interfață grafică de utilizator Pentru a vizualiza proprietățile unei anumite relații, trebuie mai întâi să faceți clic pe ea și apoi pe butonul Proprietăți La soluție folosind interfața de linie de comandă Dacă doriți să vizualizați numai relațiile definite direct, puteți utiliza comutatorul /Direct Totuși, dacă nu o specificați, vor fi afișate și relațiile indirecte care apar din cauza prezenței relațiilor tranzitive Spre o soluție cu VBScript Acest scenariu folosește obiecte Dicționar pentru a facilita maparea valorilor numerice la atribute precum TrustType și TrustDirection Obiectul Dicționar din VBScript este similar cu tabelul hash și cu matricea asociativă utilizate în alte limbaje de programare Metoda sa Add preia o cheie și o valoare ca parametri și le adaugă în dicționar Metoda Keys returnează cheile dicționarului ca o colecție Pentru a accesa o valoare stocată într-un dicționar, trebuie doar să dați acestui obiect numele unei chei, de exemplu: ObjDictionary(strKey) O altă modalitate de a obține informații de încredere în mod programatic este prin intermediul Trustmon WMI Provider, care este o caracteristică nouă în Windows Server Consultați Rețeta pentru un exemplu de utilizare Capitolul : Păduri și Domenii, Trusturi Vezi si Rețeta descrie atributele obiectului trustedDomain, iar Rețeta descrie o altă modalitate de a obține informații de încredere în mod programatic Consultați MS KB (H W TO: Determine Trust Relationship Configurations) și MSDN: TRUSTED DOMAIN INFORMATION EX Verificarea relației de încredere Problemă Vrei să verifici dacă relația de încredere funcționează corect Acesta este primul lucru de făcut dacă utilizatorii raportează autentificarea eșuată de către domeniul la distanță Soluţie Utilizarea interfeței grafice cu utilizatorul Pe un controler de domeniu care rulează Windows , trebuie să parcurgeți următorii pași Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu a cărui relație doriți să verificați și selectați Proprietăți Deschideți fila Trusturi și în lista Domenii de încredere de acest domeniu (încrederi de ieșire) sau Domenii care are încredere în acest domeniu (încrederi de intrare), selectați al doilea domeniu, implicat în relație Faceți mai întâi clic pe butonul Editare, apoi pe butonul Verificare Pe un controler de domeniu care rulează Windows Server , pașii dvs ar trebui să fie așa Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu a cărui relație doriți să verificați și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Trusturi și în lista Domenii de încredere de acest domeniu (încrederi de ieșire) sau Domenii care are încredere în acest domeniu (încrederi de intrare), selectați al doilea domeniu, implicat în relație Faceți mai întâi clic pe butonul Proprietăți, apoi pe butonul Validare Verificarea relației de încredere Folosind interfața liniei de comandă > netdom trust /Domain: /Verificare /verbose [/UserO: trusted ronen> /PasswordO:*] [/UserO: signing domain> /PasswordO:*] Cu VBScript ' Următorul cod listează toate trusturile ' pentru domeniul specificat folosind instrumentul !rustmon WMI Provider ' Furnizorul Trustmon WMI este acceptat numai pe Windows Server • - CONFIGURARE SCRIPT strDomain - " me ' De exemplu: amer rallencorp com • - TERMINAREA CONFIGURĂRII set objWMI - GetObject("winmgmts:\\" & strDomain & "\root\MicrosoftActiveDirectory") set objTrusts - objWMI ExecQuery("Selectați * din Microsoft DomainTrustStatus") pentru fiecare objTrust în objTrust Wscript Echo objTrust TrustedDomai n Wscript Echo " TrustedAttrlbutes: " & objTrust TrustAttributes Wscript Echo " TrustedDCNaroe: " și objTrust TrustedOCName Wscript Echo " TrustedDirection: H & objTrust TrustDirection Wscript Echo " TrustlsOk: " și objTrust TrustlsOK Wscript Echo " TrustStatus: " și objTrust TrustStatus Wscript Echo " TrustStatusString: " și objTrust TrustStatusString Wscript Echo " TrustType: " și objTrust TrustType Wscript Echo "" Următorul Acest cod arată cum să afișați o listă relații nemuncă Acest lucru se poate face cu o interogare WQL cu următoarea condiție: TrustlsOk - Fals • - CONFIGURARE SCRIPT strDomain - " " ' De exemplu: amer rallencorp com ' - TERMINAREA CONFIGURAȚIEI - set objWMI = GetObject("w nmgmts:\\" & strDomain & "\root\MicrosoftActi veDirectory") set objTrusts - objWMI ExecQuery ("select * *' &" din Microsoft DomainTrustStatus " &" unde TrustlsOk - False") f objTrusts Count - O atunci Wscript Echo "Nu există încredere faiIureș" el se WScript Echo "Trust FaiIureș:" pentru fiecare objTrust în objTrust Wscript Echo " " și objTrust TrustedDomain objTrust TrustStatusString Wscript Echo Următorul sfârşitul dacă Capitolul : Păduri și Domenii, Trusturi Un comentariu Pentru a testa o relație de încredere, trebuie să verificați dacă există o relație între cele două domenii și să determinați dacă secretele relației lor partajate sunt sincronizate Spre o soluție cu o interfață grafică de utilizator Ferestrele snap-in-ului Active Directory Domains and Trusts (Active Directory - domenii și încredere) în sistemele de operare Windows și Windows Server sunt oarecum diferite În special, butonul Verificare (Verificare/restaurare) din Windows Server a fost numit Validare (Verificare) La soluție folosind interfața de linie de comandă Dacă doriți să verificați relația cu domeniul Kerberos, lansați comanda netdom cu comutatorul /Kerberos Spre o soluție cu VBScript O interfață convenabilă pentru interogarea și verificarea relațiilor este oferită de Trustmon WMI Provider, care a fost introdus doar în Windows Server Face parte din setul de instrumente Windows Management Instrumentation (WMI), unul dintre avantajele utilizării pentru a accesa astfel de date este capacitatea de a efectua interogări complexe în WQL (WMI Query Language - WMI query language), care vă permite să obțineți informații despre relațiile cu proprietățile specificate WQL este un subset al limbajului SQL care este utilizat pe scară largă pentru interogarea bazelor de date Soluția VBScript folosește WQL pentru a obține o listă a tuturor relațiilor problematice Interogarea poate fi extinsă pentru a include criterii suplimentare, cum ar fi direcția și tipul de relație Vezi si Document MSDN: Trustmon Provider Restabilirea unei relații de încredere Problemă Să presupunem că descoperi că o relație de încredere nu funcționează Prin urmare, trebuie reinstalat, astfel încât utilizatorii să se poată autentifica din nou prin el Poate fi necesar să schimbați parola de încredere Restabilirea unei relații de încredere Soluţie Utilizarea interfeței grafice cu utilizatorul Urmați instrucțiunile din rețeta Vi se va oferi opțiunea de a reseta relația doar dacă un test al relației arată că nu funcționează Folosind interfața liniei de comandă > netdom trust /Companie: /Resetare /verbose [/UserO: /PasswordO:*] [/UserO: /PasswordD;*] Cu VBScript ■ Acest cod resetează relația specificată ' - CONFIGURARE SCRIPT ' Setați constanta la numele de domeniu DNS sau NetBIOS al domeniului Windows ' Windows NT sau tărâmuri Kerberos a căror relație strTrustName trebuie resetata la " l ' Setați numele DNS al domeniului de încredere sau de încredere strDomain la " " la constanta ' -END CONFIGURARE - - ' Activați opțiunea SC RESET pentru durata setului de enumerare a încrederii objTrustProv - GetObject("winmgmts:\\" & strDomain n\ root\Mi crosoftActi veDirectory: Mi crosof t T rustProvideM?") objTrustProv TrustCheckLevel - * Iterate opțiunea activată SC RESET objTrustProv Put Interogați informațiile de încredere și tipăriți-le pe ecranul set objWMI - GetObject("wlnmgmts W" strDomaln & "\root\M crosoftActiveDirectory") set objTrusts - objWMI ExecQuery("Selectați * " " din Microsoft DomainTrustStatus " & " unde TrustedDomain " strTrustName & ) pentru fiecare objTrust în objTrust Wscript Echo objTrust TrustedDomain Wscript Echo " TrustedAttributes: " objTrust TrustAttributes Wscri ptEcho " TrustedDCName: " objTrust TrustedOCName Wscript Echo " TrustedOirection: " objTrust TrustDirection Wscript Echo " TrustlsOk: " objTrust TrustlsOK Wscript Echo " TrustStatus: " objTrust TrustStatus Wscript Echo " TrustStatusStrlng: " objTrust TrustStatusString Wscript Echo " TrustType: " objTrust TrustType Wscript Echo "" Următorul Un comentariu Ca parte a restabilirii încrederii, parolele de încredere partajate sunt sincronizate Controloarele primare ale ambelor domenii sunt utilizate în acest scop, deci trebuie să fie disponibile La soluție folosind interfața de linie de comandă Dacă reîncredeți într-un domeniu Kerberos, invocați comanda netdom cu comutatorul /PasswordT Capitolul : Păduri și Domenii, Trusturi Vezi si Rețeta vorbește despre cum să testați o relație de încredere Înlăturarea unei încrederi Problemă Relația de încredere trebuie eliminată De obicei, această operațiune este efectuată atunci când accesul la un anumit domeniu de la distanță nu mai este necesar sau când domeniul este eliminat cu totul Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe nodul de domeniu a cărui încredere doriți să o eliminați și selectați Proprietăți din meniul contextual care apare Deschideți fila Trusturi și în lista Domenii de încredere de acest domeniu (încrederi de ieșire) sau Domenii care are încredere în domeniul thls (încrederi primite) selectați al doilea domeniu, membru al relației, apoi faceți clic pe butonul Eliminare Folosind interfața liniei de comandă > netdom trust /Domain: /Eliminare /verbose [/UserO: /PasswordO;*] [/UserO: ZPasswordD:*] Cu VBScript Acest cod elimină relația de încredere a domeniului dat * CONFIGURARE SCRIPT - Setați numele de domeniu Windows la constanta DNS sau NetBIOS Constantă de domenii Windows NT sau Kerberos pentru care doriți să eliminați relația strTrustName " " " Dați constantei ONS numele unui domeniu de încredere sau de încredere strDomain - "ONS-romename>" ' TERMINAREA CONFIGURĂRII - set objRootDSE ~ GetObjectCLDAP://" & strDomain & "/RootDSE") set objTrust "GetObjectCLDAP://cn°System" & objRootDSE Get("defaultNamingContext") - objTrust Delete "trustedDomain" "cn-" și strTrustName set objTrustUser - GetObjectCLDAP://cn-Users " & objRootDSE Get("defaultNami ngContext") ) objTrustUser Delete "trustedDomain" "cn-" & strTrustName & WScript Echo "Încredere s-a șters cu succes pentru " și strTrustName Folosind filtrarea SID Un comentariu Relațiile de încredere sunt stocate în Active Directory ca două obiecte: trustedDomain în containerul Systern și user în containerul utilizatori Ambele obiecte sunt șterse ca urmare a ștergerii relației Cu UI și CLI, acest lucru se poate face într-un singur pas, în timp ce VBScript trebuie să șterge în mod explicit ambele obiecte vă permite să eliminați relația dintr-o singură parte Dacă al doilea membru al relației de încredere este un domeniu Active Directory la distanță sau un domeniu Windows NT , atunci ștergeți și relația din acesta Folosind filtrarea SID Problemă Este necesar să se activeze filtrarea codurilor de securitate (Security Identifier, SID) pentru o anumită relație de încredere Acest lucru va proteja relația de încredere de hackeri care încalcă codurile de securitate Soluţie Folosind interfața liniei de comandă > netdom trust /Domeniu domeniu de încredere> /Carantina Da [/UserO: /PasswordO:*] [/UserO /PasswordO *] Un comentariu Utilizarea jurnalului de cod de securitate deschide o gaură de securitate, care este acoperită în detaliu în MS CV Un administrator de domeniu de încredere poate modifica jurnalul de cod de securitate pentru un anumit utilizator prin ridicarea privilegiilor utilizatorului respectiv în domeniul de încredere Riscul de acest lucru este relativ mic, deoarece este destul de dificil să găsești un cod de securitate Mai mult, pentru a preveni acest lucru, puteți activa filtrarea codului de securitate pentru o anumită încredere Când este activată, solicitările de autentificare primite de la principalii de securitate dintr-un domeniu de încredere pot conține numai SID-urile principalilor de securitate din domeniul de încredere SID-urile de la alte domenii de încredere nu sunt acceptate Filtrarea SID crește nivelul de securitate al domeniului, dar împiedică utilizarea istoricului SID, ceea ce poate duce la anumite probleme de încredere Vezi si Document MS KB (MS : SID falsificat ar putea duce la privilegii crescute în Windows ) Capitolul Păduri și domenii, relații de încredere Căutarea unui domeniu pentru coduri de securitate duplicate Problemă Este necesar să găsiți toate codurile de securitate repetate într-un anumit domeniu De fapt, nu ar trebui să existe astfel de coduri, dar uneori, și în special după eliminarea rolului principal RID (Identificatorul relativ), ele apar Soluţie Folosind interfața liniei de comandă > Ntdsutil "sec ace man" "co to se " "verificați dup sid" qq Următorul mesaj va fi afișat ca răspuns Verificarea SIO duplicat finalizată cu succes Verificați dupsid log pentru orice dubluri Veți găsi fișierul jurnal dupsid log în același director din care ați pornit programul ntdsutl Pentru a elimina obiectele cu coduri duplicate, puteți folosi comanda > Ntdsutil "sec ace man" "co to se " "clean dup sid" qq Va genera următorul mesaj: Curățarea SIO duplicat finalizată cu succes Verificați dupsid log pentru orice duplicat Un comentariu Toți principalii de securitate din Active Directory au SID-uri care sunt utilizate pentru a identifica unic un obiect Un astfel de cod constă din două părți: RID și identificatorul de domeniu Fiecărui controler de domeniu i se alocă un pool de RID-uri din pool-ul partajat al master-ului operațiunilor de domeniu Când este creat un nou principal de securitate (utilizator, grup sau computer), controlerul de domeniu ia următorul identificator din pool-ul său pentru a genera SID-ul pentru cont nou În cazuri rare, cum ar fi eliminarea rolului de master RID, se poate produce o suprapunere în alocarea pool-ului RID, rezultând SID-uri duplicate, acestea ar trebui să fie indisponibile Vezi si Document MS KB (CUM SE: Găsiți și curățați identificatorii de securitate duplicați cu Ntdsutil în Windows ) Controlere de domeniu, cataloage globale și roluri Introducere Controlerele de domeniu sunt servere care gestionează domeniile Active Directory, stochează informații legate de acestea și oferă clienților servicii de autentificare și director Fiecare astfel de controler este asociat cu un domeniu, dar poate stoca copii parțiale, numai în citire, ale obiectelor din alte domenii din pădure, cu condiția să fie desemnat ca server de catalog global Fiecare controler de domeniu menține două partiții de director, configurații și scheme, care sunt replicate tuturor controlerelor de domeniu din pădurea sa Gestionarea Active Directory este doar parțial centralizată Astfel, actualizările pot fi făcute pe orice controler de domeniu, dar operațiunile individuale trebuie efectuate doar pe un server alocat în acest scop, deoarece nu pot fi efectuate în paralel Dacă doi controlori de domeniu fac actualizări contradictorii la schema, vor fi probleme foarte grave, până la pierderea datelor Prin urmare, Active Directory definește conceptul de rol de proprietar al operațiunii, la rolul FSMO (Flexible Single Mașter Operations - a single flexible operation master) Fiecare rol este atribuit unui singur controler de domeniu, care se numește proprietarul său și îndeplinește sarcinile asociate acestuia Mai multe despre rolurile maeștrilor de operațiuni vor fi discutate în Rețeta Anatomia unui controler de domeniu Fiecare controler de domeniu este reprezentat în Active Directory de mai multe obiecte, dintre care cele mai importante sunt computerul și nTDSDSA Obiectul computer permite unui controler de domeniu să fie membru al securității ca orice alt computer din Active Directory În mod implicit, un astfel de obiect este localizat în containerul ers de control al domeniului al partiției rădăcină a domeniului Îl poți muta într-o altă divizie, dar numai dacă știi bine la ce va duce asta Cele mai importante atribute ale obiectului computer care reprezintă un controler de domeniu sunt enumerate în Tabelul - Capitolul Controlere de domeniu, cataloage globale și roluri Tabelul Atributele obiectului computer care reprezintă controlerul de domeniu Descrierea atributului dnsHostName msDS-Addi ti onalDnsHostName Controler de domeniu Nume DNS complet calificat Nume DNS vechi al controlerului de domeniu redenumit msDS-Add ti onalSamAccountName Vechiul nume NetBIOS al controlerului de domeniu redenumit operatingSystem O descriere textuală a sistemului de operare pe care îl rulează controlerul de domeniu operați ngSystemHotF ix Nu este utilizat în prezent; în viitor, este posibil ca acest atribut să fie setat la actualizările instalate operatingSystemServicePack Versiunea pachetului de servicii instalată pe controlerul de domeniu operați ngSystemVers i on Numărul de versiune a sistemului de operare sub care rulează controlerul de domeniu sAMAccountName Numele NetBIOS al controlerului de domeniu serverReferenceBL Numele distinct al obiectului server care reprezintă acest controler de domeniu și se află în containerul Site-uri din secțiunea de configurare Serviciu cePrincipal Name List of Service Principal Names (SPN) acceptate de acest controler de domeniu Controlerele de domeniu sunt reprezentate de mai multe obiecte situate în containerul Site-uri din secțiunea de configurare Acest container este conceput pentru a stoca obiecte care reprezintă informații despre topologia site-ului, inclusiv obiecte site, subrețea, sltellnk și server Topologia unui site este ansamblul de conexiuni fizice dintre calculatoarele care îl compun Informațiile despre aceasta sunt necesare, în special, pentru a asigura replicarea eficientă a datelor din Active Directory Mai multe despre asta în capitolul Fiecare controler de domeniu are un obiect nTDSDSA care este subordonat obiectului server pe care îl reprezintă controlerul de domeniu De exemplu, dacă DC face parte dintr-un site RTP, locația obiectului nTDSDSA ar fi: cn-NTDS Settlngs cn-DCl cn-RTP cn-Si tes,cn-Confi gurat on,dc-ra encorp dc=com Cele mai importante atribute ale obiectului nTDSDSA sunt enumerate în Tabelul Tabelul Atributele obiectului nTDSDSA ale controlerului de domeniu Descrierea atributului hasMasterNCs O listă de nume distincte din acele contexte de denumire pentru care este responsabil acest controler de domeniu Numele secțiunilor aplicației nu sunt incluse Promovarea unui server la un controler de domeniu Descrierea atributului hasPartialRepIcaNCs O listă de nume distincte din acele contexte de denumire care au copii parțiale pe acest controler de domeniu msDS-HasDoma nNCs Numele distinctiv al domeniului pentru care este responsabil acest controler de domeniu Acest atribut a fost introdus doar în Windows Server msDS-HasDomalnNCs O listă de nume distincte din contextele de denumire (domeniu, configurație și schemă) și partiții de aplicație de care este responsabil acest controler de domeniu Acest atribut a fost introdus doar în Windows Server opțiuni Dacă bitul cel mai puțin semnificativ al acestui atribut este setat, acest controler de domeniu deține o copie a catalogului global Promovarea unui server la un controler de domeniu Problemă Doriți să promovați serverul la un controler de domeniu Această operație este de obicei efectuată fie când se creează un domeniu într-o pădure Active Direction, fie când se adaugă controlere suplimentare la domeniu pentru a distribui sarcina între ele și a crește toleranța la erori de sistem Soluţie Rulați programul dcpromo exe fie din linia de comandă, fie dintr-o fereastră deschisă cu comanda Start ► Run (Start ► Run) Apoi răspundeți la întrebările vrăjitorului despre pădure și domeniul în care va funcționa controlerul pe care îl definiți Un comentariu Promovarea unui server la rolul de controler de domeniu este un proces în timpul căruia unui anumit server i se atribuie anumite funcții de management pentru un domeniu Active Directory specificat Programul dcpromo exe este implementat ca un vrăjitor - o secvență de ferestre, sau pagini, concepute pentru a introduce informații despre pădure și domeniul în care va funcționa noul controler Vă permite să faceți următoarele: o Creați o nouă pădure și faceți din server controlerul de domeniu rădăcină (vezi Rețeta în Capitolul ); o creați un domeniu nou în pădurea pe care o specificați (un copil al unui domeniu existent sau domeniul rădăcină al unui arbore nou) și faceți din server controlerul său (vezi Rețeta în Capitolul ); o Faceți serverul unul dintre controlerele de domeniu existente Capitolul Controlere de domeniu, cataloage globale și roluri Vezi si Rețeta este despre crearea unei păduri noi, iar Rețeta este despre crearea unui nou domeniu Consultați MS KB (CUM SE promovează și se retrogradează controlerele de domeniu în Windows ) Promovarea unui server la un controler de domeniu folosind o copie a directorului Problemă Este necesar să se transforme serverul într-un controler de domeniu, folosind ca sursă a conținutului directorului său (Directory Contents, DIT) o copie de rezervă a directorului altui domeniu Acest lucru elimină necesitatea de a replica întregul conținut al directorului prin rețea Soluția Creați o copie de rezervă pe controlerul de domeniu la care se va alătura noul controler Operația se realizează cu ajutorul utilitarului MS Backup, lansat prin comanda Start ► Programe ► Accesorii ► Instrumente sistem ► Backup (Start ► Programe ► Accesorii ► Instrumente sistem ► Arhivare date) Restaurați (de asemenea folosind utilitarul MS Backup) copia de rezervă a datelor privind starea sistemului pe noul server Acordați atenție faptului că fișierele trebuie restaurate într-o locație nouă, nu în locația originală Rulați programul dcpromo cu comutatorul /adv din linia de comandă sau din fereastra deschisă cu comanda Start ► Run: > dcpromo /adv Pe pagina Tip Controller Domaln, selectați Controlerul Domaln Addltlonal pentru un buton radio domn existent și faceți clic pe butonul Următorul Pe pagina Domaln Informatlon Sopy, selectați butonul radio Din aceste fișiere de rezervă restaurate, specificați locația fișierelor restaurate, apoi faceți clic pe butonul Următorul Pe pagina următoare, introduceți numele de utilizator, parola și numele de domeniu pentru contul de utilizator care este membru al grupului Domaln Admins Puteți finaliza această sarcină cu condiția ca serverul care va deveni controlerul de domeniu să ruleze Windows Server Degradarea unui controler de domeniu nume de domeniu) al domeniului în care va funcționa noul controler, apoi faceți clic pe butonul Următorul Selectați folderele în care veți stoca baza de date Active Directory și fișierele jurnal, apoi faceți clic pe butonul Următorul Specificați unde va fi localizat folderul SYSVOL și faceți clic pe butonul Următorul În pagina Restore Mode password, introduceți și confirmați parola pe care doriți să o atribuiți acestui cont de administrator de server, apoi faceți clic pe butonul Următorul Faceți clic din nou pe butonul Următorul și operațiunea va începe Un comentariu Capacitatea de a crea un controler de domeniu folosind o copie de rezervă a informațiilor altui controler de domeniu din același domeniu a fost introdusă doar în Windows Server În Windows , noul controler de domeniu a trebuit să reproducă toate aceste informații în rețea În organizațiile în care fie fișierul DIT este prea mare, fie rețeaua este lentă sau intermitentă, este dificil să se reproducă tot conținutul directorului în rețea, iar procesul de promovare a unui server la un controler de domeniu poate fi lung Acum, odată cu introducerea noii caracteristici descrise în această rețetă în Windows Server , această sarcină este rapidă, deși necesită restaurarea ulterioară a directorului de pe mediul de stocare amovibil (CD sau bandă) de unde a fost făcut backup NOTĂ - Fișierele pe care le utilizați trebuie create cu cel mult de zile înainte de operațiunea descrisă Dacă fișierele de rezervă sunt create mai devreme, este posibil să aveți probleme din cauza prezenței obiectelor care au fost deja șterse Cert este că durata de viață a obiectelor îngropate (adică șterse din catalog, dar încă nedistruse) în mod implicit este de exact de zile, Vezi si Rețeta descrie cum să faci copii de rezervă ale conținutului unui Active Directory De asemenea, vă recomandăm să examinați MS KB (CUM PENTRU: Utilizați programul de copiere de rezervă pentru a face copii de rezervă și a restabili starea sistemului în Windows ) Degradarea unui controler de domeniu Problemă Doriți să transformați un controler de domeniu într-un server membru, de exemplu atunci când nu mai este utilizat sau când se fac modificări arhitecturale Capitolul Controlere de domeniu, cataloage globale și roluri Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați programul dcpromo exe din linia de comandă sau dintr-o fereastră deschisă cu comanda Start ► Run Pe prima pagină a expertului, faceți clic pe butonul Următorul Dacă serverul este ultimul controler de domeniu din domeniu, bifați caseta de selectare Acest server este ultimul controler de domeniu din domeniu Faceţi clic pe butonul Următorul Introduceți și confirmați parola pentru contul de administrator local Faceți dublu clic pe butonul Următorul Un comentariu Înainte de a retrograda un controler de domeniu, asigurați-vă că atribuiți toate rolurile de master operațiuni altor servere; în caz contrar, acestea vor fi distribuite aleatoriu controlerelor de domeniu, care ar putea să nu fie potrivite pentru sistemul dumneavoastră De asemenea, dacă serverul găzduiește catalogul global, asigurați-vă că există alte servere de catalog global în pădure care gestionează descărcarea Înainte de a elimina un controler de domeniu sau de a-l reinstala, trebuie neapărat să îi retrogradați rolul - în acest caz, toate obiectele asociate cu acesta vor fi șterse automat din Active Directory și înregistrările de resurse de pe serverele DNS Cu toate acestea, dacă dintr-un motiv oarecare procedura de retrogradare a controlerului de domeniu nu se finalizează cu succes sau dacă nu o puteți efectua deloc din cauza unei defecțiuni hardware, va trebui să faceți manual pașii necesari Cum să faceți acest lucru, veți învăța din rețeta Vezi si Rețeta - spune cum să eliminați manual un controler de domeniu, rețeta - vorbește despre dezactivarea unui catalog global, iar rețeta - vorbește despre transferul rolurilor de master operațiuni Citiți MS KB (CUM SE: promovează și retrogradează controlerele de domeniu în Windows ) și MS KB (CUM SĂ: Eliminați Active Directory cu Instrumentul Dcpromo în Windows ) Automatizați procesul de creare a unui controler de domeniu și retrogradare Problemă Este necesar să se automatizeze procesul de atribuire a unui server a unui controler de domeniu sau, dimpotrivă, de retrogradare a unui controler de domeniu la rolul de server membru Automatizați procesul de creare a unui controler de domeniu Procesul de promovare poate fi inclus în instalarea sistemului de operare server prin adăugarea liniilor de configurare corespunzătoare la fișierele de răspuns Soluţie Există două moduri de a automatiza procesul de promovare a unui controler de domeniu - prin specificarea setărilor necesare în timpul instalării automate a sistemului server sau prin rularea manuală a programului dcpromo după instalarea sistemului Programul dcpromo poate lua ca parametru un fișier de răspuns care include șiruri de caractere pentru a configura serverul ca controler de domeniu Pentru a face acest lucru, trebuie să îl rulați cu tasta /answer: > dcpromo /answer: Dacă doriți să rulați programul specificat ca parte a unei proceduri de instalare automată a sistemului, trebuie să adăugați secțiunea [GUIRunOnce] din care este apelat acest program în fișierul de instalare Înălțarea rolului de server la rolul de controler de domeniu poate fi efectuată numai după ce instalarea sistemului este finalizată și utilizatorul se conectează la acesta Prin urmare, apelul la programul dcpromo nu trebuie făcut nicăieri, și anume în [GUIRunOnce ] secțiune Iată un exemplu: [GUIRunOnce] dcpromo /answer:XsystemrcotS\system \$winnt$ nf" Secțiunea de răspuns a programului dcpromo începe cu subdiviziunea [DCInstal ] Iată un exemplu de fișier de răspuns folosit pentru a adăuga un controler de domeniu la un domeniu existent în pădurea rallencorp com: [DCInstal ] UserName-administrator Parola-Ral encorpAdmi nParolă UserOomai n-ra encorp corn OatabasePath-XsystemrootîXntds LogPath-XsystemrootX\ntds SYSVOLPath-SsystemrootSX sysvol SafeModeAdminPassword-DSrestoreModePassword Cri ti cal Răspunde cati cnOnly-no RepllcaOrNewDomain-Replica ReplicaDomainDNSName-ral encorp corn RebootOnSuccess-da CreateOrJoin-Join Un comentariu Pentru o listă completă a setărilor [DCInstal ] pentru Windows Server , consultați fișierul de ajutor ref chm găsit în arhiva \support\toois\deploy cab de pe CD-ul Windows Server fișierul unattend doc, aflat în \ arhiva support\tools\deploy cab de pe CD-ul Windows Capitolul Controlere de domeniu, cataloage globale și roluri Vezi si Documente MS KB (Cum se automatizează configurarea Windows și configurarea controlerului de domeniu) și MS KB (Promovarea și retrogradarea nesupravegheată a controlerelor de domeniu Windows ) Rezolvarea problemelor legate de crearea și retrogradarea controlerului de domeniu Problemă Au existat probleme la crearea unui controler de domeniu sau ca urmare a retrogradării acestuia și trebuie să găsiți o cale de ieșire din această situație Soluţie Cea mai bună sursă de informații despre sarcinile implicate în crearea și retrogradarea unui controler de domeniu sunt fișierele Dcpromo log și Dcpromoui log, care se află pe server în folderul /oSystemRoot%\Debug lucra cu programul dcpromo, ca precum și informațiile afișate de acest program Al doilea fișier conține informații mai detaliate - o descriere a absolut tuturor acțiunilor și evenimentelor asociate cu funcționarea programului dcpromo În plus, în Windows Server , utilitarul dcdlag acceptă două noi teste pentru a ajuta la depanarea problemelor legate de rolul controlerului de domeniu În timpul primei dintre acestea, numită dcpromo, utilitarul raportează tot ceea ce ar putea interfera cu procesul de creare a unui controler de domeniu În al doilea test, RegisterInDNS, verifică dacă serverul poate înregistra înregistrări în DNS Iată un exemplu de rulare a ambelor teste pentru domeniul rallencorp com: > dcdiag /test -dcpromo /DnsDcmain:rallencorp com /ReplicaDC /test RegisterInDNS Un comentariu În cele mai multe cazuri, nivelul de detaliu din Dcpromoul log este suficient pentru a identifica orice problemă, dar poate fi crescut în continuare dacă este necesar Setarea Wlndows\CurrentVersion\Admin Debug și setați-o la FF Dacă doriți să verificați dacă parametrul măștii este setat corect, rulați din nou testul dcpromo și căutați intrarea măștii de înregistrare în Dcpromoul log Pentru mai multe informații despre diferitele setări de înregistrare, consultați MS KB Dacă toate încercările de a rezolva problema au eșuat, încercați să utilizați programul netmon (Network Monitor, în rusă Eliminarea unui controler de domeniu versiunea Windows - Microsoft Network Monitor), cu ajutorul căruia puteți monitoriza traficul de rețea generat de sistem și erorile returnate Aceste informații vă vor ajuta să aflați cu ce servere vorbește testul dcpromo și dacă a expirat înainte ca serverul curent să poată primi răspunsuri la solicitările sale Vezi si Documente MS KB (Setări de registry pentru detaliile evenimentului în fișierul Dcpromoui log) și MS KB (CUM SE: Eliminați datele din Active Directory după o retrogradare nereușită a controlerului de domeniu) Eliminarea unui controler de domeniu care nu a reușit să fie retrogradat Problemă O încercare de retrogradare a unui controler de domeniu a eșuat sau este posibil să nu o puteți încerca deloc din cauza unei erori hardware sau software a serverului Prin urmare, eliminarea unui controler de domeniu din Active Directory trebuie făcută manual Soluţie În primul rând, trebuie să rulați utilitarul ntdsutl (aici este numele unui controler de domeniu situat în același domeniu cu controlerul care urmează să fie șters): > ntdsutil "meta clean" conn "so to ser " q "so t" " d" S-au găsit domenii - Dfrral encorp DOcom - dc-amea OC-ra encorp DC-com Selectați domeniul controlerului pe care urmează să îl eliminați În exemplul nostru, acesta este emea rallencorp com: selectați ținta operației: sel domain Acum enumerați site-urile și selectați-l pe cel care include controlerul de domeniu: selectați ținta operațiunii: enumerați site-urile S-au găsit site-uri - CN-Default-First-Site-Nume CN-Sites CN-Configuration DC-ra encorp DC=com - CN-ttySitel CN-Sites CN-Configiiratlon DC-Tallencorp DC-com - CN tySite CN-Sites CN~Configuration DC-ral encorp DC-com Capitolul Controlere de domeniu, cataloage globale și roluri - CN-MySite CN-Sires CN-Configurat on DC=ra encorp DC'com select operation target: sel site Apoi, specificați serverul pe care urmează să îl eliminați (în acest caz, este serverul O sau serverul DC ): selectați ținta operației: listați serverele pentru domeniul din site S-au găsit servere - CN-DC CN-Servers CN tySi tel CN-Sites CN=Conf gurati on DC-ral encorp OC-com - CN-DC CN-Servers CN-MySitel CN-Sites CN=Configuration DC=ral encorp,OC-com selectați ținta operației: sel server Introduceți comanda Quit și veți reveni din nou la meniul de curățare a metadatelor: selectați ținta operației: ieșiți din curățarea metadatelor: În cele din urmă, eliminați serverul: curățarea metadatelor: eliminați serverul selectat Ca răspuns, programul ar trebui să afișeze un mesaj care să arate că îndepărtarea controlerului este completă Dacă în schimb primiți un mesaj de eroare, verificați dacă obiectul nTDSDSA corespunzător acestui server conține obiectele CN=NTDSSettings,CN=DC CN- Servere CN= Mysitel,CN=Sites CN=Configurare,DC=ral encorp,DC=com) Dacă nu există, este posibil ca dcpromo să-l fi eliminat deja și va dura ceva timp pentru ca modificările să se repete Cu toate acestea, dacă este încă prezent, încercați să rulați din nou programul ntdsuti și, dacă acest lucru nu funcționează, ștergeți manual obiectul, precum și părintele acestuia (adică CN=DC ) Pentru a distruge toate "urmele" unui controler de domeniu eliminat din Active Directory, trebuie să faceți următoarele Eliminați înregistrarea CNAME pentru numele msdcs din DNS, unde este valoarea atributului ObjectGUID al obiectului nTDSDSA al serverului Dacă colectarea gunoiului nu este activată, va trebui să eliminați manual toate înregistrările SRV care se potrivesc cu obiectul Ștergeți toate înregistrările A și PTR existente legate de acest server Dacă utilizați serviciul Microsoft DNS, puteți efectua acești pași folosind snap-in-ul DNS Ștergeți obiectul computer care reprezintă acest server (OU-Domain Control - ers, ) Puteți face acest lucru folosind snap-in-ul Utilizatori și computere Active Directory Ștergeți obiectul FRS Meniber (CN=Domain System Volume (SYSVOL share) CN-file replication service, CN=system ) Acest lucru se poate face folosind snap-in-ul Active Directory Users and Computere (Utilizatori și computere Active Directory), selectând comanda Advanced Features din meniul View pentru a afișa containerul System Un comentariu Îndepărtarea manuală a unui controler de domeniu nu este o sarcină ușoară și ar trebui făcută numai în circumstanțe speciale Dacă trebuie să înlocuiți rapid serverul, Eliminarea unui controler de domeniu cel mai bine este să-i dai un nume diferit, astfel încât să nu confundați niciodată noul server cu cel vechi Când controlerul care este eliminat este ultimul din domeniu, trebuie să eliminați manual și domeniul din pădure Cum se face acest lucru este descris în rețeta Mai jos sunt câteva recomandări suplimentare pentru retrogradarea unui controler de domeniu A Anulați atribuirea tuturor rolurilor de master operațiuni pe care le are controlerul de domeniu R Dacă controlerul de domeniu conține un catalog global, asigurați-vă că site-ul are un alt server de catalog global R Dacă controlerul de domeniu este un server DNS, asigurați-vă că există un alt server DNS R Dacă controlerul de domeniu este RID master, asigurați-vă că nu există SID-uri duplicat (vezi Rețeta ) A Verificați dacă controlerul de domeniu are partiții de aplicație și, dacă da, faceți o altă copie de server a acelor partiții (consultați Rețeta ) Dacă un computer care a fost un controler de domeniu pe care l-ați eliminat manual din acea stare este încă online, luați în considerare reinstalarea sistemului de operare pentru a evita potențiale conflicte din cauza încercărilor sale de a se reintegra în Active Directory Dacă reinstalarea nu este acceptabilă, încercați următorii pași pentru a determina serverul să nu se mai identifice ca controler de domeniu Deschideți cheia HKLM\System\CurrentControlSet\Control în registrul de sistem și înlocuiți valoarea LanmanNT a parametrului ProductOptions cu valoarea ServerNT Reporniți serverul Îndepărtați directorul NTDS Alternativ, dacă serverul rulează Windows Server sau Windows SP (sau o versiune ulterioară), puteți rula comanda dcpromo /forceremoval din linia de comandă pentru a elimina forțat Active Directory de pe server Mai multe detalii despre aceasta sunt descrise în documentul MS KB Vezi si Rețeta - este despre eliminarea unui domeniu care nu are controlere, iar Rețeta - este despre eliminarea rolurilor de master operațiuni De asemenea, consultați MS KB (H W TO: Eliminați datele din Active Directory după o retrogradare nereușită a controlerului de domeniu) și MS KB (Utilizarea comenzii DCPROMO /FORCEREMOVAL pentru a forța retrogradarea controlerelor de domeniu Active Directory) Capitolul Controlere de domeniu, cataloage globale și roluri Redenumiți un controler de domeniu Problemă Trebuie să redenumiți controlerul de domeniu Soluţie Windows Active Directory Pentru a redenumi un controler de domeniu, trebuie mai întâi să-l retrogradați la un rol de server membru După redenumire, rolul său va trebui promovat din nou Windows Server Active Directory > netdom computername /M > netdom computername /MakeRg Step: Un comentariu Windows nu are instrumente încorporate pentru redenumirea unui controler de domeniu, așa că trebuie mai întâi transformat într-un server obișnuit, iar după redenumirea acestuia într-un controler de domeniu Dar înainte de a retrograda un server, trebuie să eliminați rolurile de master de operațiuni care îi sunt atribuite În mod alternativ, puteți lăsa dcpromo să transfere acele roluri pe alte servere la discreția sa, dar apoi trebuie să aflați pe ce servere le-a transferat În mod similar, dacă controlerul de domeniu este un server de catalog global, trebuie să vă asigurați că există un alt server de catalog global care poate înlocui acel controler de domeniu în acel rol Windows Server a introdus o nouă caracteristică numită redenumirea directă a unui controler de domeniu Este implementat ca una dintre funcțiile utilitarului netdom, care vă permite să definiți un nume alternativ pentru un computer Active Directory Prin adăugarea unui nou nume, adică prin redenumirea computerului, îl puteți face ca principal Vechiul nume va fi de asemenea păstrat până când îl eliminați folosind comanda netdom computername /Remove: Trebuie să reporniți serverul înainte de a șterge vechiul nume Numele vechi sunt stocate în atributele msDS-Addl ti na IDnsHostName și msDS-AdditionalSaniAccountName ale obiectului computer al controlerului de domeniu Vezi si Documente MS KB (Cum se redenumește un controler de domeniu Windows ), MS KB (CUM SE: Utilizați utilitarul Netdom exe pentru a redenumi un computer în Windows Server ), MS KB (Trebuie să redenumiți obiectul membru SYSVOL la Redenumiți un controler de domeniu Windows Server ) și MS KB (Nu se poate schimba numele computerului unui controler de domeniu) Obținerea unei liste de controlere de domeniu pentru un domeniu specificat ! Obținerea unei liste de controlere de domeniu pentru un domeniu specificat Problemă Doriți să vizualizați o listă de controlere de domeniu care sunt membri ai unui domeniu dat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Conectați-vă la domeniul care vă interesează Faceți clic pe containerul Domain Controllere și o listă a tuturor controlerelor de domeniu va fi afișată în partea dreaptă a ferestrei snap-in Folosind interfața liniei de comandă > interogare netdom dc /Domain Cu VBScript Acest cod listează controlorii de domeniu pentru domeniul dat ' CONFIGURARE SCRIPT strDomain - " " ' De exemplu: emea rallencorp com ' TERMINAREA CONFIGURĂRII set objRootDSE = GetObjectCLDAP://" & strDomain & "/RootOSE") set objDomain - GetObjectCLDAP://" și objRootDSE GetCdefaultNamingContext")) strHasteredBy - objDomain GetExCmasteredBy") pentru fiecare strNTDSDN din strHasteredBy set objNTDS - GetObjectCLDAP://" și strNTDSDN) set objServer - GetObject(objNTDS Parent) wscri pt echo objServer GetCdNSHostName") Următorul Un comentariu Există mai multe moduri de a enumera controlorii unui domeniu dat Când se utilizează GUI, pur și simplu listează obiectele computerului din containerul Domain Controllere Când un nou controler este adăugat la domeniu, obiectul computer corespunzător este mutat din partiția rădăcină a domeniului în containerul Domain Controllere Cu toate acestea, administratorul poate muta obiectele computerului în alte unități organizatorice, astfel încât această verificare nu garantează acuratețea rezultatului Soluțiile de linie de comandă și VBScript adoptă o abordare diferită prin citirea valorii atributului masteredBy al obiectului care reprezintă domeniul (ex dc=amea, dc=rall encorp, dc=com) Atributul specificat stochează o listă a numelor distincte ale obiectelor nTDSDSA ale tuturor controlorilor din acest Capitolul Controlere de domeniu, cataloage globale și roluri domeniu Obiectul părinte al obiectului nTDSDSA (care reprezintă serverul care acționează ca controler de domeniu) are un atribut DNSHostName care conține numele DNS complet calificat al serverului Problema descrisă mai are o soluție, dată în Rețeta Vezi si Rețeta arată cum să utilizați DNS pentru a interoga o listă de controlere de domeniu pentru un anumit domeniu Găsirea celui mai apropiat controler de domeniu Problemă Doriți să găsiți cel mai apropiat controler de domeniu pentru un anumit domeniu Soluţie Folosind interfața liniei de comandă > nltest /dsgetdc ONS donenname> [/site- ] [/server; ] Cu VBScript Acest cod VBScript găsește cel mai apropiat controler de domeniu ' căruia îi aparține computerul care rulează acest script ' CONFIGURARE SCRIPT strDomain = " " ' De exemplu: emea rallencorp com SFÂRȘIT CONFIGURARE set objladsTools - CreateObjectC'IADsTools DCFunctions") objladsTools DsGetDcName( Cstr(strDomain) ) Wscript Echo "DC: " și objIadsTools DCName Wscript Echo "DC Site" și objladsTools DCSiteName Wscript Echo "Client Site- " & objladsTools ClientSiteName Un comentariu Modul în care un client găsește cel mai apropiat DC este descris în MS CV și MS CV Această operațiune este efectuată de un proces numit DC locator Folosește informații de topologie pentru a determina pe ce site se află un anumit client site din Active Directory Odată ce site-ul client este identificat, procesul specificat găsește un controler de domeniu în același site sau un controler de domeniu care este încadrat în acel site Metoda DsGetDcName, care face parte din API-ul Microsoft Directory Services, este concepută pentru a găsi controlere de domeniu, dar, din păcate, nu poate fi utilizată direct într-un script scris, de exemplu, în VBScript Interfața lADsTools folosită în soluția de mai sus este o wrapper pentru metoda DsGetDcName Găsirea unui site de controler de domeniu Comanda nltest /dsgetdc este, de asemenea, un wrapper pentru metoda DsGetDcName, care este un mijloc convenabil de a găsi controlerul de domeniu optim pentru un anumit client La soluție folosind interfața de linie de comandă Programul nltest vă va ajuta să obțineți numele celui mai apropiat controler de domeniu care îndeplinește o anumită funcție, în special serverul de catalog global - cheie /GC, servere de timp - cheie /TIMESERV, KDC (Kerberos Domain Controller - Kerberos Key Distribution Center) - cheie /KOS sau PDC (Program Domain Controller - controler de domeniu primar) - cheie / PDC Pentru o listă completă de funcții și tastele lor de program corespunzătoare, utilizați comanda nltest /? Spre o soluție cu VBScript La fel ca utilitarul nltest, metoda DsGetDcName poate returna numele celui mai apropiat controler de domeniu care îndeplinește funcția specificată Pentru a face acest lucru, trebuie mai întâi să apelați metoda SetDsGetDcNameFlags, care ia ca valoare un șir separat prin virgulă cu următoarele steaguri : DS FORCE REDISCOVERY DS DIRECTORY SERVICE REQUIRED ds directory service"prefered DS GC SERVER REQUIRED DS PDC REQUIRED DS IP NECESAR DS KDC NECESAR DS TIMESERV REQUIREO DS TIMESERV REQUIREO DS GOOD TIMESERV PREFERRED DS AVOID SELF DS IS FLAT NAME DSJS DNS NAME RETURNJ)NS NAME DS RETURN FLAT NAME Vezi si Pentru mai multe informații despre interfața IADsTool, vă recomandăm să consultați documentul loadTools doc din pachetul Instrumente de asistență Consultați MS KB (Cum sunt situate controlerele de domeniu în Windows), MS KB (Cum sunt amplasate controlerele de domeniu în Wmdows XP), MSDN DsGetDcName și MSDN Microsoft DNS Găsirea unui site de controler de domeniu Problemă Doriți să aflați cărui site din Active Directory îi aparține un anumit controler de domeniu Capitolul Controlere de domeniu, cataloage globale și roluri Soluţie Utilizarea interfeței grafice cu utilizatorul Lansați utilitarul LDP și selectați Conexiune ► Conectare În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceţi clic pe butonul OK Selectați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Selectați comanda Răsfoire ► Căutare (Căutare ► Găsiți) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al containerului Site-uri (Site-uri), de exemplu 'cn-sites,cn=configuration dc=rallencorp,dc=coTi În zona Scop, setați butonul radio la Subtree I În câmpul Filtru, introduceți următoarea specificație de filtru: (&(object-category=server) ( b^ozI#me= )) Faceți clic pe butonul Run Folosind interfața liniei de comandă > nltest /dsgetsite /server: Cu VBScript ' Acest cod afișează numele site-ului căruia îi aparține controlerul de domeniu specificat ' CONFIGURARE SCRIPT strDC - " " ' De exemplu: dcl rallencorp com ' TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectC'LDAP://' & strDC & "/RootDSE") set objNTDS - GetObjectC'LDAP://" și objRootDSE Get("dsServiceName")) set objSite - GetObject(GetObject(GetObject(objNTDS Parent) Parent) Parent) WScrlpt Echo objSite Get("cn") Un comentariu În topologia site-ului, un controler de domeniu este reprezentat de un obiect server și un obiect copil, nTDSDSA Orice server trebuie să aibă un obiect server, iar controlerele de domeniu diferă de alte servere prin faptul că au un obiect nTDSDSA Adesea, ultimul obiect este folosit în Active Directory pentru a se referi la un controler de domeniu De exemplu, atributul fSMORoleOwner al obiectului domalnDNS conține numele distinctiv al obiectului nTDSDSA al controlerului de domeniu căruia i se atribuie rolul de emulator PDC Mutați un controler de domeniu pe alt site La soluție folosind interfața de linie de comandă Comanda ni test /dsgetsi te este un wrapper pentru metoda DsGetDcName Spre o soluție cu VBScript Deoarece metoda DsGetDcName nu poate fi apelată direct în VBScript, folosim o soluție Interogând obiectul RootDSE al serverului țintă, obținem valoarea atributului dsServiceName Conține numele distinctiv al obiectului domainDNS al controlerului de domeniu, de exemplu: cn-NTDS Settings cn"dcl,cn=MySite cn=Si-tes cn=Configuration dc=rallencorp,dc-com În plus, apelând metoda Parent de trei ori, obținem obiectul cn=MySite cn°Sites cn=Configuration on dc=ral encorp,dc=com Vezi si Document MSDN: DsGetDcName Mutați un controler de domeniu pe alt site Sarcină Doriți să mutați un controler de domeniu pe alt site Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga al ferestrei snap-in, deschideți containerul Site care conține controlerul de domeniu pe care doriți să îl mutați Deschideți containerul Servere Faceți clic dreapta pe controlerul de domeniu și selectați Mutare (Mutare) În caseta de dialog My Server, selectați site-ul în care doriți să mutați controlerul și faceți clic pe OK NOTĂ - - În versiunea Windows Server a snap-in Site-uri și servicii Active Directory, puteți muta obiecte trăgându-le Folosind interfața liniei de comandă > dsmove " " -newparent "' " Cu VBScript Acest cod mută controlerul de domeniu pe alt site '- CONFIGURARE SCRIPT- strDCName - " " ' De exemplu: dc Capitolul Controlere de domeniu, cataloage globale și roluri strCurrentSite - ' " ' Exemplu: Default-First-Site-Name strNewSite - " " ' Exemplu: Raleigh • - TERMINAREA CONFIGURĂRII strConfigDN - GetObjectCLDAP;//RootOSE") Get("configurationNamingContext") strServerDN - "LDAP //cn-" & strDCName & " cn-servers cn-" & strCurrentSite și " cn-sites", și strConfigDN strNewParentDN - "LDAP //cn-servers cn-' & strNewSite & " cn-sites" & strConfigDN set objCont - GetObjectCStrNewParentDN) objCont KoveHere strServerDN, "cn-" și strDCName WScript Echo "Mutat cu succes" & strDCName & " în " & strNewSite Un comentariu Când este creat un nou controler de domeniu, serverul și obiectele nTDSDSA corespunzătoare controlerului de domeniu sunt adăugate la partițiile de director care reflectă topologia site-ului KCC (Knowledge Consistency Checker) și Intersite Topology Generator (ITG) folosesc aceste obiecte pentru a determina cu ce servere ar trebui să comunice un controler de domeniu Un controler de domeniu este considerat asociat cu site-ul pe a cărui subrețea se află fizic Dacă nu există niciun obiect de subrețea cu un interval de adrese care să includă adresa IP a controlerului de domeniu, obiectul server este adăugat în directorul site-ului Default-First-Site-Name Dacă controlerul de domeniu se află pe un alt site, acest obiect trebuie mutat manual Înainte de a promova un server la un controler de domeniu, este o idee bună să vă asigurați că există un obiect de subrețea care se potrivește cu subrețeaua pe care se află serverul Atunci obiectul server nu trebuie să fie mutat manual NOTĂ - Când mutați obiectul server, rețineți că acesta ar trebui să fie plasat în containerul Servere, nu în directorul rădăcină al site-ului La soluție folosind interfața de linie de comandă >pentru /F "usebackq" Xi In ('dsquery server -name " "') face dsmove -newparent "cn-Servers cn-Default-First-Site-Name,cn-Sites cn-Configuration " Xi Să ne uităm la comanda codificată pentru compus definită în cmd exe în părți Prima parte a comenzii conține parametrul ZF "usebackq", care îi permite să circule prin ieșirea unei alte comenzi: for /F "usebackq" Xi n Următoarea parte a comenzii for definește datele care vor fi redate în buclă În cazul nostru, aceste date sunt furnizate de comanda dsquery, care returnează numele distinctiv al obiectului server corespunzător serverului : ('dsquery server -pass " "') Obținerea de informații despre serviciile furnizate de un controler de domeniu A treia parte execută comanda dată, adică comanda dsmove pentru a procesa fiecare dintre rezultatele returnate de comanda dsquery Deoarece există un singur rezultat, comanda este executată odată cu do dsmove -newparent "cn-Servers cr>=Default-Fi rst- Site-Name cn=Sites cn-Configuration " Xi Spre o soluție cu VBScript Ca și în cazul precedent, trebuie să specificați ce site include serverul care este mutat Dacă se dorește, numele site-ului curent poate fi solicitat programatic, așa cum se face în Rețeta Vezi si Rețeta - este despre cum puteți afla numele site-ului care conține un controler de domeniu dat, iar Rețeta - este despre mutarea obiectelor între containere Obținerea de informații despre serviciile furnizate de un controler de domeniu Problemă Este necesar să aflăm ce servicii oferă un anumit controler de domeniu la dispoziția noastră Soluţie Lista serviciilor furnizate de controlerul de domeniu este afișată prin comandă > dcdiag /v /s- /test:advertising Informații similare pot fi obținute folosind utilitarul de testare nl: > nltest /server: /dsgetdc■ Un comentariu Comanda dcdiag /test:advertising este un wrapper pentru metoda DsGetDcName Această metodă returnează o structură DOMAIN CONTROLLER INFO care conține o listă de servicii furnizate de controlerul de domeniu Elemente posibile ale structurii indicate tururile sunt listate în tabel Tabelul Semnale DOMAIN CONTROLLER INFO Descrierea valorii DS DS FI AG Server de director de domeniu DS GC FLAG Server de catalog global forestier continuarea" > Capitolul Controlere de domeniu, cataloage globale și roluri Tabelul (continuare) Descrierea valorii DS KDC FLAG DS POC FLAG DS TIMESERV FLAG DS WRITABLE FLAG Centrul de distribuție chei Kerberos Domeniu Serviciu de director actualizabil PDC Domeniu Vezi si Documente MSDN: DsGetDcName și MSDN: DOMAIN CONTROLLER INFO Configurarea unui controler de domeniu pentru a utiliza o sursă de timp externă Problemă Trebuie să instalați o sursă de timp de încredere pentru controlerul de domeniu Soluţie Folosind interfața liniei de comandă > ret time /seЪ$nIr > net stop w time > net start w time Cu VBScript Înlocuiți cu numele DNS al emulatorului PDC și numele DNS sau adresa IP ' o sursă sigură de timp CONFIGURARE SCRIPT - strPDC -= * " ' De exemplu: ntp rallencorp com ' - END CONFIGURATION ~ StrTimeServerReg - "SYSTEM\CurrentControlSet\Services\W Time\Parameters" const HKLM - &H set objReg - GetObject("uri nmgmts:\\" & strPOC & "\root\default:StdRegProv") objReg GetStnngValue HKLM strTimeServerReg "ntpserver" strCurrentServer WScript Echo "Valoare curentă: " & strCurrentServer objReg SetStringValue HKLM strTimeServerReg "ntpserver" strTimeServer objReg SetStringValue HKLM strTimeServerReg "tip" "NTP" -strCurrentServer objReg GetStringValue HKLM strTimeServerReg "ntpserver" strCurrentServer WScript Echo "Valoare nouă: " și strCurrentServer ' Reporniți serviciul de timp Configurarea unui controler de domeniu set objServlce - GetObjectCwînmgmts://" & strPDC & " / root / imv Wi n Servi ce-W Ti me'") WScript Echo "Oprire" și objService Name bjService StopServiceO Wscript Sleep ' Pauză de secunde pentru a oferi serviciului de timp șansa să se oprească WScnpt Echo "Startlng " și objService Name objServi ce StartServi ce() Un comentariu Sursa de timp sigură care trebuie utilizată de emulatorul PDC trebuie să fie atribuită numai domeniului rădăcină pădurii Toți ceilalți controlori de domeniu, fiecare în cadrul propriului domeniu, pot sincroniza ora fie cu acest server, fie cu PDC (sau cu un server de timp dedicat) Lista de servere de timp externe este reprezentată de setarea W Time Service din cheia de registry HKLM\SYSTEM\CurrentControlSet\Services\W Time\Parameters\ntpserver Dacă doriți ca un controler de domeniu, să spunem PDC, să folosească o sursă de timp externă, trebuie să setați valorile adecvate pentru două valori de registry: ntpserver și type Valoarea implicită pentru parametrul tip controlerului de domeniu este NT DS, care va căuta sursa de timp în ierarhia domeniului Active Directory Acest comportament poate fi modificat astfel încât controlerul de domeniu să folosească un computer care nu este controler de domeniu ca sursă de timp Pentru a face acest lucru, parametrul tip trebuie setat la NTP Într-o soluție de linie de comandă, utilizarea comutatorului /setsntp face ca parametrul tip să fie setat automat la NTP Într-o soluție bazată pe VBScript, valoarea acestui parametru este setată programatic După instalarea serverului de timp, serviciul W Time trebuie repornit pentru ca modificările să intre în vigoare Comanda vă permite să verificați corectitudinea setărilor serverului > nettime /querysntp Deoarece emulatorul PDC este sursa de timp pentru alte controlere, ar trebui să vă asigurați că le oferă un serviciu de timp Acest lucru se poate face astfel: > nltest /server: /dsgetdc: /TIMESERV Vezi si Documente MS KB (Cum se configurează un server de timp autorizat în Windows ), MS KB (Operarea de bază a serviciului de oră Windows), MS KB (Inregistrări de registry pentru serviciul W Time), MS KB MSDN: StdRegProv și MSDN: Win Service Capitolul Controlere de domeniu, cataloage globale și roluri Determinați numărul de încercări de conectare pe un controler de domeniu Problemă Doriți să determinați numărul de încercări de conectare care au loc pe controlerul de domeniu specificat Soluţie Puteți afla acest lucru cu o interogare care returnează numărul de încercări de conectare procesate: > nltest /server: /LOGONQUERY Un comentariu Comanda nltest /LOGONQUERY este un înveliș în jurul metodei I NetLogcnControl Vă permite să determinați câte solicitări de conectare au fost procesate de un anumit server Vizualizarea rezultatelor muncii sale pe o anumită perioadă de timp și compararea acestora cu rezultatele obținute pe un alt server din același domeniu face posibilă identificarea serverelor care sunt semnificativ mai mult sau mai puțin încărcate decât altele Vezi si Document MSDN Eu NetLogonControl Folosind cheia / GB pentru a mări dimensiunea cache-ului LSASS Problemă Controlerele de domeniu au mai mult de GB de memorie, iar comutatorul / GB trebuie adăugat pentru ca procesul LSASS să poată folosi mai multă memorie Soluţie Pe controlerul de domeniu, editați fișierul boot ini pentru a adăuga cheia / GB: [boot loader] timeout- default"multi( )disk( )rdisk( )partition( )\WIND WS [sisteme de operare] multi( )disk( )rdisk( )partitlon( )\WIND WS°"Wlndows Server " / GB Reporniți computerul Eliminarea obiectelor DLT NOTĂ - - În Windows Server , pentru a edita fișierul boot ini, trebuie să deschideți aplicația System în Panoul de control, faceți clic pe elementul Startup and Recovery, apoi faceți clic pe butonul Editare A face același lucru în Windows este ceva mai dificil Activați fereastra programului Explorer (Explorer), selectați comanda Tools ► FolderOptions (Service ► Folder Options) și deschideți fila View (View) Debifați caseta de selectare Ascundere fișiere de sistem de operare protejate (recomandat) și bifați butonul radio Afișare fișiere și foldere ascunse Apoi, în directorul rădăcină al partiției sistemului de operare (cel mai probabil pe unitatea C:), găsiți fișierul boot ini și editați-l cu un editor de text Un comentariu Când vorbim despre un computer pe sau de biți, ne referim la faptul că acceptă adrese de memorie de lungimea corespunzătoare (adică sau de biți) Pe baza acestei valori, este ușor de calculat cantitatea totală de memorie (virtuală și reală) care poate fi utilizată de sistem Începând cu Windows NT, Microsoft împarte toată memoria sistemului în două părți: GB pentru aplicații și GB pentru nucleul sistemului de operare (spațiul total de adrese de de biți este de sau GB) Administratorii consideră adesea util să aloce mai multă memorie aplicațiilor decât nucleului De aceea, Microsoft oferă comutatorul / GB, care alocă GB de memorie aplicațiilor și GB nucleului Vezi si Documente MS KB (Scopul fișierului BOOT INI în Windows sau Windows NT), MS KB (O descriere a funcției de reglare RAM de GB și a comutatorului de extensie a adresei fizice) și MS KB (Utilizarea memoriei de către Procesul Lsass exe pe controlerul de domeniu bazat pe server Windows ) Eliminarea obiectelor DLT Problemă Trebuie să vă asigurați că serviciul DLT (Distributcd Link Tracking) este dezactivat și că toate obiectele DLT sunt șterse din Active Directory Serviciul specificat este utilizat pentru a urmări legăturile către fișiere de pe partițiile NTFS Dacă un fișier legat este șters sau mutat, Windows folosește serviciul DLT pentru a-l găsi atunci când linkul este deschis Angajații majorității organizațiilor nici măcar nu sunt conștienți de existența acestui serviciu, care poate crea mii de obiecte în Active Directory Prin urmare, dacă nu este utilizat, este recomandat să îl dezactivați Soluţie Dacă instalați Windows Server pe un controler de domeniu care rula Windows , serviciul DLT va fi oprit și dezactivat automat Când instalați Windows Server pe un computer "curat", acest serviciu este de asemenea instalat, dar nu este activat Cu toate acestea, în Windows Capitolul Controlere de domeniu, cataloage globale și roluri serviciul specificat este activat implicit și, prin urmare, dacă nu este necesar, este indicat să îl dezactivați pe toate controlerele de domeniu Apoi trebuie să ștergeți toate obiectele sale (linkTrackVolEntry și HnkTrackOMTEntry) din Active Directory Deoarece pot exista sute sau mii de obiecte DLT, acest proces trebuie automatizat Scriptul conținut în documentul MS CV (dltpurge vbs) șterge toate obiectele create în perioada specificată Să dăm un exemplu de lansare pentru controlerul de domeniu dcl ha encorp fagure: > cscrlpt dltpurge vbs -s dcl -d dc-rallencorp dc-com Un comentariu Serviciul DLT constă din două componente: client și server Componenta server rulează pe controlere de domeniu, componenta client poate rula numai pe Windows sau o versiune ulterioară Serviciul backend stochează date în Active Directory sub formă de obiecte linkTrackVol Entry și linkTrackOMTEntry, care sunt utilizate pentru a urmări numele și locațiile fișierelor din partițiile NTFS Containerul cn=ObjectMoveTabl e cn=Fi -leLincks cn=System, conține obiecte linkTrackVolEntry, reprezentând volume NTFS pe computerele de domeniu În timp, numărul de obiecte DLT poate crește semnificativ Și deși ocupă relativ puțin spațiu, dacă nu folosești acest serviciu, nu are rost să le depozitezi În acest caz, este mai bine să dezactivați serviciul și să ștergeți toate obiectele acestuia După ștergerea unui număr mare de obiecte, puteți vedea cât spațiu ați eliberat pe discurile controlerelor dvs de domeniu prin defragmentarea spațiului acestora Vezi Rețeta (Capitolul ) pentru mai multe despre aceasta Vezi si Documente MS KB (Efectuarea defragmentării offline a bazei de date Active Directory), MS KB (Urmărirea Lmk distribuită pe controlerul de domeniu bazat pe Windows) și MS KB (Vereion text al Dltpurge vbs pentru articolul Q din baza de cunoștințe Microsoft) Activați sau dezactivați catalogul global Problemă Doriți să activați sau să dezactivați catalogul global pe un anumit server Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Sltes and Servlces (site-uri și servicii Active Directory) Activați sau dezactivați catalogul global Localizați obiectul Setări NTDS care face parte din obiectul server al controlerului de domeniu pentru care doriți să activați sau să dezactivați catalogul global Faceți clic dreapta pe obiectul Setări NTDS și selectați Proprietăți din meniul contextual care se deschide În fila General a ferestrei de proprietăți care se deschide, bifați caseta de selectare Global Catalog pentru a activa catalogul global sau debifați caseta de selectare pentru a-l dezactiva Faceți clic pe butonul OK Folosind interfața liniei de comandă În următoarea comandă, este numele distinctiv al obiectului server al controlerului de domeniu, nu obiectul nTDSDSA: > dsmod server " '' -isgc yes|nu De exemplu, următoarea comandă activează catalogul global pe controlerul de domeniu dcl care face parte din site-ul Raleigh: > dsmod serverj "cn=dcl cn=Servers cn=Ralelgh,cnDSites cn-Configuration dc=ra encorp dc^com" -isgc da Cu VBScript * Acest cod activează sau dezactivează ' catalog global pe controlerul de domeniu dat • - CONFIGURARE SCRIPT strDC - " '' ' De exemplu: dc rallencorp com strGCEnable -" ' = activare O = oprire ' -TERMINARE CONFIGURARE- set objRootDSE - GetObjectCLDAP //' & strDC & "/RootDSE") objNTDS " GetObjectCLDAP://" & strDC & "/" & objRootDSE Get("dSServiceName")) objNTDS Pune "opțiuni" strGCEnable objNTDS SetInfo Un comentariu Primul controler de domeniu din pădure devine implicit serverul de catalog global Dacă doriți ca mai mult de un controler de domeniu să efectueze această caracteristică, trebuie să o activați pe acele controlere de domeniu Catalogul global pe un controler de domeniu este activat atunci când bitul scăzut al atributului opțiuni al obiectului nTDSDSA care face parte din obiectul server al controlerului de domeniu este setat la Numele distinctiv al acestui obiect pentru controlerul dcl care face parte din Site-ul implicit-First-Site-Name este cn =NTOS Sett ngs cn=DCl cn=-Default-First-Site-Name cn"S tes cn"Conflguration,dcmrallencorp,dc=com După ce catalogul global este activat, poate dura ceva timp înainte ca domeniul să înceapă să îndeplinească funcția specificată Durata acestei perioade depinde de cantitatea de date care trebuie replicată, precum și de tipul de conexiune între partenerii de replicare ai acestui controler de domeniu Când replicarea este finalizată, jurnalul serviciului de director ar trebui să arate evenimentul În acest moment, va fi posibilă direcționarea interogărilor LDAP către serverul de catalog global folosind portul Capitolul Controlere de domeniu, cataloage globale și roluri Vezi si Rețeta descrie cum să vă asigurați că catalogul global este activat cu succes De asemenea, vă recomandăm să consultați MS KB (H W TO: Creați sau mutați un catalog global în Windows ) Se verifică dacă catalogul global a fost activat cu succes Problemă Trebuie să vă asigurați că controlerul de domeniu specificat acționează ca un server de catalog global După ce activați această caracteristică pe un controler de domeniu, va dura ceva timp (în funcție de dimensiunea pădurii) pentru ca partițiile Active Directory doar pentru citire să se reproduze pe acesta Soluţie Interogați valoarea atributului i sGl obal Catal ogReady din obiectul RootDSE Un rezultat ADEVĂRAT înseamnă că controlerul de domeniu este un server de catalog global, în timp ce un rezultat FALS înseamnă opusul, adică controlerul de domeniu nu este un server de catalog global Pentru mai multe informații despre interogarea obiectului RootDSE, consultați Rețeta Un comentariu După ce serverul a terminat de replicat catalogul global, atributul IsGlobalCatalogReady al obiectului RootDSE va fi setat la TRUE O altă modalitate de a vă asigura că un controler de domeniu este cel puțin marcat ca catalog global este să verificați dacă atributul de opțiuni de pe obiectul nTDSDSA al controlerului de domeniu este setat la Rețineți că acest lucru nu înseamnă că controlerul de domeniu acceptă cereri ca catalog global server director Puteți verifica pe acesta din urmă rulând interogarea în această secțiune sau accesând direct portul global de catalog Vezi si Rețeta (Capitolul ) se ocupă cu interogarea obiectului RootDSE Găsiți servere de catalog globale în pădure Problemă Doriți să obțineți o listă de servere de catalog globale care fac parte dintr-o anumită pădure Găsiți servere de catalog globale în pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Lansați utilitarul LDP și selectați Conexiune ► Conectare În câmpul Server, introduceți numele controlerului de domeniu În câmpul Port, introduceți Faceţi clic pe butonul OK Selectați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Alegeți comanda Răsfoire ► Căutare (Căutare ► Găsiți) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al containerului Site-uri (Site-uri), să spunem cn-sites cn-configuration dc=rallencorp dc=com În zona Scop, setați butonul radio la Subtree I În câmpul Fllter, introduceți următoarea specificație de filtru: (&(object-category-ntdsdsa)(options- )) Faceți clic pe butonul Run Folosind interfața liniei de comandă > dsquery server -forest -isgs Cu VBScript Acest cod listează serverele de catalog global pentru o anumită pădure ' - CONFIGURARE SCRIPT - strForestName * " " ' De exemplu: rallencorp com ' - TERMINAREA CONFIGURĂRII set ObjRootDSE - GetObject("LDAP://" & strForestName & "/" & "RootDSE") strADsPath e " dsquery server -site Pentru a obține o listă de servere numai în catalogul global, aceeași comandă ar trebui să fie rulată cu comutatorul - sgc: > dsquery server -site - sgc Găsirea controlerelor de domeniu sau serverelor de catalog global Cu VBScript ' Acest cod listează controlorii de domeniu care fac parte din a site-ului dat, urmată de o listă de servere de catalog global ale aceluiași site ■ CONFIGURARE SCRIPT strSite - " " ' De exemplu Default-First-Site-Name strForest - " " ' De exemplu, rallencorp com • - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectC'LDAP://" & strForest & "/RootDSE") strADsPath - " nlslookup Server implicit: dns rallencorp com Adresa: > setați tipul SVR Apoi, pentru a obține o listă a tuturor controlorilor pentru un anumit domeniu, va trebui să rulați următoarea interogare: > ldap tcp Pentru a obține o listă de servere de catalog global, ar trebui să rulați o interogare similară bazată pe numele pădurii (deoarece serverele de catalog global funcționează la nivel de pădure, nu la domeniu) > ldap tcp În plus, puteți obține o listă de controlere de domeniu sau servere de catalog global care fac parte dintr-un anumit site sau care sunt în domeniul de aplicare al site-ului respectiv > ldap tcp , sites > ldap tcp sites Consultați Rețeta (Capitolul ) pentru mai multe informații despre cum să obțineți o listă de site-uri care sunt acoperite de un controler de domeniu Un comentariu Un avantaj pe care Active Directory îl are față de predecesorul său Windows NT este că folosește DNS pentru a rezolva numele Active Directory folosește DNS pentru a găsi servere care îndeplinesc o anumită funcție și, în special, pentru a găsi controlere de domeniu, servere de catalog global, emulatori PDC și KDC În plus, Active Directory operează pe informațiile stocate în directorul său despre topologia site-ului, Schimbarea legăturii controlerului de domeniu în timp ce generează înregistrări DNS pentru controlerele de domeniu asociate cu anumite site-uri Procesul de găsire a controlerelor de domeniu pe baza informațiilor DNS direcționează cererile de conectare primite de la clienți către cele mai potrivite servere Utilizarea serviciului DNS facilitează rezolvarea problemelor atunci când clienții caută controlere de domeniu Dacă știți pe ce site se află un client, cu doar câteva interogări DNS, puteți determina asupra cărui controler de domeniu ar trebui să se autentifice Accesul la înregistrările de resurse înregistrate de controlorii de domeniu în DNS poate fi restricționat, astfel încât interogările către acest serviciu returnează uneori o listă incompletă a controlorilor de domeniu Veți afla mai multe despre acest lucru în Rețetele și (Capitolul ) Vezi si Cum să utilizați DNS pentru a găsi emulatorul PDC este descris în Rețeta Consultați MS CV (Probleme cu multe controlere Domam cu zone DNS integrate Active Directory) Schimbarea legăturii controlerului de domeniu Problemă Trebuie să vă asigurați că controlerul de domeniu dat este folosit pentru a îndeplini cererile clientului mai rar sau deloc (de exemplu, dacă este supraîncărcat cu cereri de aplicație) Soluţie Este posibilă modificarea valorii câmpului Prioritate sau Greutate în înregistrările SRV de resurse făcând modificări în registrul de sistem Rulați regedit sau regedit pe controlerul de domeniu și localizați cheia de registry HKLM\System\CurrentControlSet\Services\Netlogon\Parameters Pentru a seta valoarea câmpului Priority, adăugați parametrul LdapSrvPriority de tip REG DWORD la secțiunea specificată și pentru a seta valoarea câmpului Weight, adăugați un parametru de același tip LdapSrv Wei ght Ca urmare a acestor pași, fișierul %SystemRoot%\System \Con-fîg\netlogon dns ar trebui să fie actualizat, cu actualizările informațiilor DNS trimise la serverul DNS în decurs de o oră Puteți reporni serviciul NetLogon pentru a accelera procesul Un comentariu Fiecare controler de domeniu înregistrează mai multe înregistrări SVR care sunt utilizate de locatorul controlerului de domeniu pe computerele client pentru a găsi cel mai apropiat controler de domeniu În înregistrarea SVR există două câmpuri, pe baza valorilor cărora clientul poate determina ce server este mai bine să folosească dacă există mai multe astfel de posibilități Prima, Prioritate, conține informații Capitolul Controlere de domeniu, cataloage globale și roluri despre prioritatea serverului, adică determină dacă conexiunea la acest server este mai de preferat decât conexiunea la alte servere Dacă există două servere disponibile, clientul se conectează întotdeauna la cel cu prioritate mai mare (care are valoarea mai mică a câmpului Prioritate) De exemplu, dacă DC are prioritate și DC are prioritate și dacă ambele sunt disponibile, primul va fi utilizat Câmpul Welght (Weight factor) este destinat să determine timpul în care clienții au folosit acest server Pentru a-l calcula, trebuie să împărțiți valoarea câmpului Welght la suma valorilor sale pentru toate serverele cu aceeași prioritate Dacă, să zicem, serverele DCI, DC și DC au câmpul Welght setat la , și, respectiv, , atunci trebuie să vă conectați la primul dintre ele o dată din șase ( / + + ), iar la a doua - de două ori ( / + + ), iar la a treia - de trei ori din șase ( / + + ) Iată un exemplu de înregistrări SVR cu valorile specificate c:\>nlslookup -type-SVR ldap tcp dc jnsdcs rallencorp com Server: dns ral encorp com Adresa: ldap tcp dc jnsdcs rallencorp com Locația serviciului SRV: prioritate - welgh- portul - Nume gazdă svr - dcl rallencorp com ldap tcp dc msdcs rallencorp com Locația serviciului SRV: prioritate " welgh- portul - Nume gazdă svr - dc rallencorp com ldap tcp dc msdcs rallencorp com Locația serviciului SRV; prioritate = Weight- portul - Nume gazdă svr - dc rallencorp com În anumite situații, această caracteristică vă poate fi foarte utilă Să presupunem că serverul este controlerul de domeniu principal și, prin urmare, primește mai multe date de la clienți Dacă descoperiți că sarcina sa este prea mare, puteți reduce prioritatea sau greutatea acesteia în înregistrarea SVR corespunzătoare În acest caz, serverul va fi accesat mai rar Setând câmpul Prioritate la o valoare suficient de mare, puteți dezactiva serverul cu totul în timp ce cel puțin un alt controler de domeniu rulează Și folosind câmpul Welght, puteți seta frecvența de utilizare a serverului Cum să dezactivați cerința de disponibilitate a serverului de catalog global pentru conectarea la domeniul Windows Problemă Trebuie să dezactivați cerința de disponibilitate a serverului de catalog global atunci când un utilizator se conectează la un domeniu Windows Dezactivarea cerinței de disponibilitate a serverului de catalog global Soluţie Utilizarea interfeței grafice cu utilizatorul Activați editorul de registry de sistem (regedit) În panoul din stânga, deschideți secțiunea HKEY LOCKAU MACHINE\SYSTEM\CurrentControl-Set\Control Faceți clic dreapta pe secțiunea Lsa și selectați New ► Key (New ► String Value) Denumiți noul parametru IgnoreGCFal Iureș și apăsați tasta Enter Reporniți serverul Folosind interfața liniei de comandă > reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFalIureș /ѵe > sfiutdown /g Cu VBScript ' Acest cod adaugă parametrul IgnoreGCFal nes la registry și repornește computerul strLSA - "HKLM\SYSTEM\CurrentControlSet\Control\LSA\IgnoreGCFallures\" Set objWSHShell - WScript CreateObjectCWScHpt Sfieli") objWSSHhell "" WScript Echo "Cheie creată cu succes" WScript Echo "Se repornește serverul " objWSHShel Run "shutdown exe /r" Un comentariu Pe Windows , fiecare încercare de conectare trebuie să se conecteze la un server de catalog global Dacă acest server nu este disponibil, utilizatorului i se va refuza înregistrarea (Excepția este atunci când nu sunteți conectat la rețea și vă conectați folosind date stocate în cache ) Vă conectați la serverul de catalog global pentru a obține informații despre grupurile universale la care poate fi membru un anumit utilizator La autentificarea unui utilizator, controlerul de domeniu solicită aceste informații de la serverul de catalog global (Rețeta (Capitolul ) explică acest lucru mai detaliat ) Conectarea la rețea a fost refuzată din cauza unei erori în conexiunea de rețea la cel mai apropiat server de catalog global Windows Server Active Directory are o soluție acceptabilă (vezi Rețeta ), dar în Windows singura modalitate de a rezolva problema de mai sus este de a instrui controlorilor de domeniu să ignore încercările eșuate de a prelua informații de pe serverul de catalog global Pentru a face acest lucru, pe acele controlere de domeniu la care ar trebui să se refere acest indiciu, trebuie să adăugați cheia IgnoreGCFal res la cheia HKLM\SYSTEM\CurrentControlSet\Control\LSA\IgnoreGCFallures\ a registrului care sunt conectați când serverul Capitolul Controlere de domeniu, cataloage globale și roluri Catalogul global nu a fost disponibil nu conține permisiunile setate pentru grupurile globale cărora le aparțin acești utilizatori Cu toate acestea, această capacitate este utilă pentru suportul site-urilor secundare care nu includ servere de catalog global Vezi si Rețeta - vă spune cum să dezactivați cerința de disponibilitate a serverului de catalog global în Windows Server , iar rețeta - vorbește despre cum să activați caracteristica universală de stocare în cache a grupului Vă recomandăm să examinați MS KB (cerința serverului de catalog global pentru autentificarea utilizatorilor și computerului) și MS KB (Cum să dezactivați cerința ca un server de catalog global să fie disponibil pentru a valida siglele utilizatorilor) Dezactivarea cerinței de disponibilitate a serverului de catalog global când vă conectați la un domeniu Windows Server Problemă Doriți să dezactivați cerința de disponibilitate a serverului de catalog global atunci când un utilizator se conectează la un domeniu Windows Server Soluția Consultați Rețeta (Capitolul ) pentru informații despre activarea caracteristicii universale de stocare în cache de grup, care elimină necesitatea de a vă conecta la un server de catalog global atunci când un utilizator se conectează la sistem Găsirea maeștrilor operațiunilor Problemă Doriți să aflați ce controlere de domeniu îndeplinesc fiecare dintre rolurile FSMO (adică sunt stăpâni ai fiecărui tip de operație) Soluţie Utilizarea interfeței grafice cu utilizatorul Pentru a determina masterul schemei, trebuie să parcurgeți pașii enumerați pe pagina următoare Această rețetă poate fi utilizată numai dacă nivelul funcțional al pădurii este Windows Server Găsirea maeștrilor operațiunilor Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic dreapta pe elementul Active Directory Schema și selectați Operations Mașter din meniul de comenzi rapide Masterul de denumire a domeniului este definit după cum urmează Deschideți programul de completare Active Directory Domains and Trusts În panoul din stânga, faceți clic dreapta pe intrarea Active Directory Domains and Trusts și selectați Operations Mașter din meniul de comenzi rapide Și pentru a determina masterul RID, emulatorul PDC și masterul infrastructurii, urmați acești pași Deschideți snap-inul Active Directory Users and Computers Asigurați-vă că v-ați înregistrat cu domeniul corect În panoul din stânga, faceți clic dreapta pe elementul Active Directory Schema și selectați Operations Mașter din meniul de comenzi rapide Se va deschide o casetă de dialog care are o filă separată pentru fiecare dintre cele trei roluri, care indică controlorii de domeniu care dețin acel rol Folosind interfața liniei de comandă Omitând parametrul /Domaln în următoarea comandă, puteți interoga domeniul în care sunteți înregistrat în prezent: > interogare netdom fsmo /Domain ONS-domain name> Pe Windows Server , această comandă returnează eroarea "Parametrul este corect" dintr-un motiv oarecare Până când este remediat, puteți utiliza următoarea comandă server dsquery cu parametrul setat la una dintre următoarele valori: schema, name, infr, pdc sau rid > dsquery server -hasfsmo Cu VBScript Acest cod scoate numele deținătorilor de rol FSMO pentru domeniul dat ' -CONFIGURARE SCRIPT strDomain - " " ' De exemplu: emea rallencorp com ' -TERMINARE CONFIGURARE set objRootDSE - GetObjectC"LDAP://" & strDomain & "/RootDSE") strDomainDN - objRootDSE Get("defaultNamingContext") strSchemaDN și objRootDSE GetC'schemaNamingCcntext") strConfigDN - objRootDSE Get("configurationNamingContext") ' Emulator PDC set objPDCFsmo - GetObjectC'LDAP://" și strDomainDN) Wscript Echo "Emulator PDC: " și objPDCFsmo fsmoroleowner Capitolul Controlere de domeniu, cataloage globale și roluri ' Maestru RID set objRIDFsiro - GetObject ("LDAP://cn-RIO Manager$ cn-systern," & strDomainDN) Wscript Echo "RID Master: " și objRIDFsmo fsmoroleowner 'Schema Master set objSchemaFsmo - GetObjectCLDAP://" și strSchemaDN) Wscript Echo "Schema Mother: " și objSchemaFsrro fsmoroleowner • Gazdă de infrastructură set objInfraFsmo - GetObject!"LDAP://cn-Infrastructure " & strDomainON) Wscript Echo "Infrastructure Mașter: " & objlnfraFsmo fsmoroleowner ' Maestru de nume de domeniu set objDNFsmo - GetObject ("LDAP://cn-Partit ons " & strConfigDN) Wscript Echo "Mater Denumirea domeniului: ' & objDNFsmo fsmoroleowner Un comentariu Unele operațiuni, inclusiv actualizările de schemă, nu pot fi efectuate simultan pe mai multe controlere de domeniu Prin urmare, pentru fiecare tip de astfel de operațiuni, este alocat un controler de domeniu specific, care se numește master operațiuni sau proprietar de rol FSMO (Flexible Single Mașter Operations) Există cinci roluri FSMO, fiecare aparținând fie unei păduri întregi, fie unui anumit domeniu Numele distinctiv al controlerului de domeniu care îndeplinește un anumit rol este stocat în atributul fSMORol eOwner al obiectelor Active Directory cărora le aparține acel rol Tabelul Roluri FSMO Descriere rol Obiect care deține atributul fSMORoleOwner Scop Schema Master Actualizează schema cn-Schema, cn-Configuration Pădure Gazdă Produce adaos, cn-Partitions pădure denumirea șterge și redenumește cn-Conflguration, domeniul domenii Gazdă Menține legături către cn-Infrastructure Domeniu și obiecte de infrastructură în alte domenii OI Roman> RID Master Alocă pool-uri RID pentru controlerele de domeniu cn-RidManager$ Sistemul cn Domeniu Emulator PDC Acționează ca browser principal Windows NT și ca controler de domeniu principal pentru clienții de nivel inferior și controlerele de domeniu de rezervă Acest rol este cunoscut și sub numele de PDC Emulator Master Domain Tranziția rolului FSMO Spre o soluție cu VBScript Dacă doriți să obțineți numele DNS al fiecărui master operațiuni, atunci interogați obiectul părinte pentru obiectul nTDSDSA și citiți valoarea atributului său dNSHost-Name, similar cu Rețeta De exemplu, codul pentru a obține numele DNS al masterului schemei ar fi: set objSchemaFsfno - GetObjectCLDAP:// cn-Schema cn-Ccnfiguration " & strForestDN) set objSchemaFsmoNTDS - GetObjectCLDAP://" & objSchemaFsmo fsmoroleowner) set objSchemaFsmoServer - GetObject(objDSParchemaFsmoNTDS) Wscript Echo "Schema Mașter: " & objSchemaFsmo GetCDNSHostName") Vezi si Documente MS KB (plasare și optimizare FSMO pe controlere de domeniu Windows ), MS KB (roluri FSMO Windows Active Directory), MS KB (CUM PENTRU: Găsiți servere care dețin roluri flexibile de operațiuni unice de master) și MS KB ( ) CUM SE: Vizualizați și transferați roluri FSMO în Windows Server ) Transferul rolului FSMO Problemă Doriți să transferați rolul FSMO către alt controler de domeniu Necesitatea acestei operațiuni poate apărea, de exemplu, dacă proprietarul actual al acestui rol este dezactivat în timpul întreținerii Soluţie Utilizarea interfeței grafice cu utilizatorul Urmați instrucțiunile din Rețeta , dar înainte de a executa comanda Operations Mașter, specificați controlerul de domeniu căruia doriți să transferați rolul folosind comanda din meniul contextual a aceleiași componente Connect to Domain Controller (Conectați-vă la domeniul controlerului) Faceți clic pe butonul Modificare Faceți dublu clic pe butonul OK și veți vedea un mesaj care indică dacă transferul rolului a avut succes Folosind interfața liniei de comandă Următoarea comandă va transfera rolul de emulator PDC către controlerul de domeniu Secțiunea de comentarii vă va spune cum să treceți alte roluri * rolurile ntdsutll conn "co ts "' q "transfer PDC" qq Cu VBScript Acest cod transferă rolul de emulator PDC către controlerul de domeniu dat În cele ce urmează, se descrie modul în care sunt transferate alte roluri Capitolul Controlere de domeniu, cataloage globale și roluri • CONFIGURARE SCRIPT - strNewOwner = " " ' De exemplu: dc rallencorp com • TERMINAREA CONFIGURĂRII Setați objRootDSE - GetObject("LOAP://" strNewOwner & "/RootDSE") objRootDSE Put "becomePDC" objRootDSE SetInfo Un comentariu Primului controler de domeniu din noua pădure i se atribuie automat două roluri FSMO la nivel de pădure, master schema și master denumire de domeniu Primul controler de domeniu din noul domeniu primește cele trei roluri rămase Este posibil ca, mai devreme sau mai târziu, să doriți să transferați unele dintre aceste roluri altor controlori de domeniu În plus, atunci când închideți un controler de domeniu care deține unul dintre roluri, trebuie mai întâi să transferați acel rol către un alt controler În timpul actualizărilor, care necesită o repornire rapidă a controlerului, acest lucru poate fi omis, dar dacă controlerul este oprit pentru o perioadă îndelungată, această operațiune este obligatorie Când atribuiți controlere de domeniu anumitor roluri, ar trebui să luați în considerare cât de activ vor fi utilizate De exemplu, emulatorul PDC este accesat destul de frecvent, în timp ce masterul schemei este necesar doar la modificarea schemei Dacă proprietarul rolului devine indisponibil sau nu reușește înainte de a-i putea transfera rolul unui alt controler de domeniu, puteți atribui direct rolul oricărui controler de domeniu (consultați Rețeta ) La soluție folosind interfața de linie de comandă Orice rol poate fi transferat folosind utilitarul ntdsutil, la fel ca rolul de emulator PDC din soluția de mai sus Pentru a face acest lucru, trebuie doar să înlocuiți conținutul parametrului "transfer PDC" cu una dintre următoarele valori: "transfer nume de domeniu master" "master infrastructura de transfer" "transfer RID master" "master schema de transfer" Spre o soluție cu VBScript Rolurile FSMO pot fi transferate programatic prin setarea atributului Value pe obiectul RootDSE al controlerului de domeniu către care este transferat rolul Iată o listă de atribute corespunzătoare celor cinci roluri FSMO: Despre becomeDomainMaster - stăpânul domeniului; o devenitlnfrastructureMaster - maestru de infrastructură; Despre becomePDCMaster - emulator PDC; Despre becomeRidMaster - RID master; Despre becomeSchemaMaster - schema master Atribuirea rolului FSMO Vezi si Consultați Rețeta pentru cum să obțineți o listă a proprietarilor de roluri FSMO și vedeți Rețeta pentru cum să atribuiți un rol unui controler de domeniu De asemenea, citiți MS KB (Flexible Single Mașter Operation Transfer and Seizure Process), MS KB (Folosirea Ntdsutil exe pentru a prelua sau transfera roluri FSMO la un controler de domeniu) și MS KB (CUM PENTRU A vizualiza și transfera roluri FSMO) în Windows Server ) Atribuirea rolului FSMO Problemă Doriți să atribuiți un anumit rol FSMO unui controler de domeniu, deoarece proprietarul său anterior nu este funcțional Soluţie Folosind interfața liniei de comandă Următoarea comandă va atribui rolul de emulator PDC controlerului de domeniu : > rolurile ntdsutil conn "co ts " q "seize PDC" qq Alte roluri FSMO sunt atribuite folosind aceeași comandă, dar în loc de parametrul "seize PDC", acestea sunt setate la una dintre următoarele valori: "Seize master de nume de domeniu" "achegați maestrul infrastructurii" "prindeți master RID" "capturați schema materului" Cu VBScript Atribuirea rolurilor FSMO se face rareori în mod programatic, deși este posibil Setați atributul fSMORol eOwner pe obiectul căruia îi aparține rolul atribuit, ca în Rețeta , dându-i numele distinct al obiectului noului proprietar al rolului, nTDSDSA Un comentariu Atribuirea rolurilor FSMO ar trebui să se facă numai în cazuri rare - atunci când proprietarul actual al rolului nu este în ordine sau nu este disponibil Această operațiune este plină de pierderi de date Să presupunem că extindeți o schemă și schema master se blochează imediat după aceea Este posibil ca extensiile pe care tocmai le-ați adăugat este posibil să nu fie încă replicate pe alte servere, caz în care va trebui să reextindeți schema după ce ați făcut ca un alt controler de domeniu să fie maestru al schemei O problemă similară apare atunci când masterul RID eșuează dacă pool-urile RID au fost furnizate, dar nu au fost replicate Pentru mai multe informații despre acest subiect, vezi rețeta (Capitolul ) Capitolul Controlere de domeniu, cataloage globale și roluri Vezi si Rețeta - arată cum să obțineți o listă de proprietari de roluri FSMO, iar rețeta - arată cum să transferați un rol către un alt controler de domeniu Vă rugăm să consultați MS KB (Flexible Single Mașter Operation Transfer and Seizure Process) și MS KB (Utilizarea Ntdsutil exe pentru a prelua sau transfera roluri FSMO la un controler de domeniu) Găsirea emulatorului PDC prin DNS Problemă Doriți să găsiți emulatorul PDC pentru un anumit domeniu folosind serviciul DNS Soluţie Folosind interfața liniei de comandă > nslookup -type-SVR ldap tcp pdc, ms Un comentariu Singurul rol care stochează numele controlerului de domeniu în DNS este rolul Emulator PDC La fel ca multe alte înregistrări DNS legate de Active Directory, este reprezentată ca o înregistrare SVR în secțiunea ldap tcp pdc msdsc , unde este domeniul în care se află controlerul principal Vezi si Rețeta descrie cum puteți găsi controlere de domeniu prin serviciul DNS Obiecte și operații asupra lor Introducere Serviciul de directoare Active Directory se bazează pe LDAP (Lightweight Directory Access Protocol) și acceptă specificația LDAP versiunea definită în RFC Include un set de instrumente și utilități ușor de utilizat care permit operatorului să efectueze operațiuni stabilite de protocolul specificat Acest capitol va acoperi câteva sarcini de bază asociate cu utilizarea protocolului LDAP, precum și o serie de alte probleme, inclusiv căutarea obiectelor în Direcția activă și efectuarea diferitelor operațiuni asupra acestora Anatomia obiectului Schema Active Directory conține o ierarhie de clase - un fel de șablon sau tip din care sunt create obiectele director Aceste clase acceptă moștenirea, astfel încât definițiile lor să poată fi reutilizate În partea de sus a arborelui de moștenire se află clasa din care toate celelalte scheme clasele sunt derivate Lista atributelor acestei clase, disponibile pentru toate obiectele Active Directory, este dată în tabel Tabelul Atributele generale ale obiectelor Active Directory Descrierea atributului SP Numele distins relativ al obiectului (Relative Dl stingul shed Name RDN) Disponibil în majoritatea claselor createTimestamp Ora în care a fost creat obiectul Vezi și rețeta descriere Un atribut care conține un set de valori Poate fi folosit ca un câmp generic pentru a stoca o descriere a unui obiect dlsplayName Numele sub care obiectul este prezentat în interfața instrumentelor de administrare, numit nume afișat dlstinguishedName Numele distinctiv (Distinguished Namc, DN) al obiectului modIfyTlmestâmp Ora la care obiectul a fost modificat ultima dată Vezi rețeta continuat^ capitolul Tabelul (continuare) Descrierea atributului nume Numele distinctiv relativ al obiectului Valoarea acestui atribut este aceeași cu valoarea atributului nume (adică cn, ou, dc etc ) nTSecur tyDescriptor objectCategory Descriptorul de securitate atribuit unui obiect Utilizat ca mijloc de grupare a obiectelor care au un scop similar objectCl ass Lista claselor din care a fost derivată clasa acestui obiect objectGUID Identificatorul unic global (GUID) al obiectului uSNChanged Update Sequence Number (USN) alocat de serverul local obiectului de la ultima actualizare (poate pe baza unei operațiuni de creare) uSNCreated USN atribuit obiectului când a fost creat Obținerea de informații despre obiectul RootDSE Problemă Doriți să vizualizați atributele obiectului RootDSE Aceasta va oferi informații de bază despre pădure, domeniu sau controler de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați Conexiune ► Conectare În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceți clic pe OK și conținutul obiectului RootDSE va fi afișat în panoul din dreapta al ferestrei programului LDP Folosind interfața liniei de comandă > enumprop "LDAP://RootDSE" Folosind un script VBScript Acest cod imprimă valorile atributelor RootDSE set objRootDSE - GetObjectCLDAP://RootDSE") Obținerea de informații despre obiectul RootDSE objRootDSE GetInfo pentru i - O la objRootDSE PropertyCount - set strProp - objRootDSE Item(i) WScript Echo strProp Name & " " pentru fiecare strPropval din strProp Values WScript Echo" " strPropval CaselgnoreString următorul următor Un comentariu Obiectul RootDSE a fost definit inițial în RFC ca parte a specificației LDAP versiunea Prin urmare, numele său nu se află în spațiul de nume Active Directory Fiecare controler de domeniu menține în mod independent acest obiect artificial Obiectul RootDSE poate fi accesat anonim, astfel încât niciuna dintre cele trei soluții furnizate nu menționează numele de utilizator și parola Soluțiile bazate pe linia de comandă și VBScript folosesc o conexiune fără server la obiectul RootDSE În astfel de cazuri, locatorul controlerului de domeniu este folosit pentru a găsi un controler de domeniu în domeniul în care sunteți înregistrat Când utilizați programul LDP, veți obține același efect dacă pur și simplu nu specificați numele serverului în caseta de dialog Conectare Obiectul RootDSE servește ca coloană vertebrală a aplicațiilor portabile pentru lucrul cu Active Directory Printre altele, oferă un mecanism pentru a determina în mod programatic numele distinctive ale diferitelor contexte de denumire, eliminând nevoia de a le codifica în scripturi și programe Următorul este un exemplu de rulare a unui program LDP pe un controler de domeniu care rulează Windows Server : ld - ldap open("dc " ); Conexiune stabilită la dcOl Se preiau informațiile DSA de bază Rezultat : (nuli) DNS-uri potrivite: Obține intrări: "Pe; > currentTime: / / : : Pacific Standard Time Pacific Daylight T me; > subschemaSubarticol:CN-Aggregate,CN-Schema,CN-Configuration,DC-ral encorp DC-com: > dsServiceName: CN-NTDS Setări,CN-DC l CN-Servers CN-Default-F rst-Site-Name CN=Sites CN=Configuration DC-rallenco rp,DC-com; > nanoingContexts; DC-ral encorp,DC-com; CN-Configuration DC-rallencorp,DC-com: CN-Schema CN-Configuration,DC-rallencorp DC-com; DC=DomainOnsZones DC-ra encorp,DC-com; DC-ForestDnsZones DC-ral encorp,DC-com: > defaultNamingContext: DC-rallencorp dc-com; > schemaNamingContext: CN-Schema CN-Configuration,DC-ral encorp,DC-com; > configurati ojnNami ngContext: CN-Conf guration DC-ra encorp DC-com; capitolul > rootDomalnNamlngContext: DC-rallencorp DC-com > suportatControl: ; ; ; : ; : ; ; ; ; ; : ; ; ; ; >supportedLDAPVersion: : : > LDAPPolicies suportate: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnexions MaxConnldleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange; > cel mai înaltComrmttedUSN: : > suportateSASLMecanisme: GSSAPI; GSS-SPNEGO EXTERNAI DIGEST-MD ; > dnsHostName: dc rallencorp com- > IdapServiceName: ral encorp corn dc $@RALLENC RP C M " serverName CNOCOl,CN=Servere CN^Default-First-Site-Name CN=Site-uri CN=Configuration DC-ral encorp DC-com; >Capacități suportate: ; ; ; > esteSincronizat: ADEVĂRAT; >IsGlobalCatalogReady: TRUE; > domainFunctionality: - ( DS BEHAVI R WIN ): > forestFunctionality: •" ( DS BEHAVIOR WIN ); > domainControllerFunctionality: - ( DS BEHAVIOR WIN ): Către o soluție VBScript Codul de mai sus citește și imprimă valorile tuturor atributelor obiectului RootDSE Cu toate acestea, în practică, de obicei sunt necesare doar unul sau câteva atribute și, în astfel de cazuri, se poate folosi metoda Get sau GetEx, ca în exemplul următor: strDefaultNC - objRootDSE Get("defaultNamlngContext") Sau dacă doriți să obțineți un obiect pe baza numelui distinctiv (DN) al unuia dintre contextele de denumire puteți caii GetObject folosind un ADsPath; set objUser - GetObject("LDAP /cn-adm nistrator cn-users " & objRootDSE GetC'defaultNamngContext") Vizualizarea valorilor atributelor obiectului Vezi si RFC , MS CV (Windows : LDAPv RootDSE), MSDN: lADsPropertyEntry, MSDN: LADsPropertyValue, MSDN IAD-uri Get și MSDN: IADs GetEx Vizualizarea valorilor atributelor obiectului Problemă Doriți să vizualizați valorile unuia sau mai multor atribute ale unui obiect Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați Conexiune ► Conectare În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceţi clic pe butonul OK Selectați comanda Conexiune ► Legare (Conexiune ► Legare) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Selectați comanda View ► Tree (Vizualizare ► Tree) În câmpul BaseDN, introduceți numele distinctiv al obiectului ale cărui atribute doriți să le vizualizați În zona Scop, setați butonul radio la Bază Faceți clic pe butonul OK Folosind interfața liniei de comandă > dsquery * "OI object>" -scope base -attr * Pe Windows , utilizați următoarea comandă: > epigrrgor "№№ // " Folosind un script VBScript Acest cod imprimă valorile tuturor atributelor obiectului dat ' - CONFIGURARE SCRIPT - strObjectDN - " " ' De exemplu: cn-jsmith cn-users dc-rallencorp dc-com * - TERMINAREA CONFIGURĂRII Capitolul Obiecte și operații asupra acestora DisplayAttributes("LDAP://" și strObjectDN) Funcția DisplayAttributes( strObjectADsPath ) set objObject - GetObject(strObjectADsPath) objObject GetInfo ' Un obiect de tip dlctionary este declarat și completat ' valorile din enumerarea ADSTYPEENUM set dicADsType - Create bject("Scr pting D ctlQnary") dicADsType Add "INVALID" dicADsType Add "DN STRING" dicADsType Add "CASE EXACT STRING" dicADsType Add "CASEJGNORE STRING" dicADsType Add "CASE EXACT STRING" dicADsType Add "NUMERIC STRING" dicADsType Add , "BOOLEAN" dicADsType Add "INTEGER" dicADsType Add "OCTET STRING" dicADsType Add "UTC TIME" dicADsType Add dicADsType Add dicADsType Add Add PROV SPECIFIC" dicADsType Add "OBJECT CLASS dicADsType Add "CASEIGNORE LIST" dicADsType Add "OCTET LIST dicADsType Add "PATH"-POST-dicADsType Add ADTIMEDRESType " dicADsType Add "BACKLINK" dicADsType Adăugați "TYPEDNAME' dicADsType Add "HOLD" dicADsType Adăugați "NETADDRESS" dicADsType Adăugați "REPLICAPOINTER" dicADsType AddsType "EMAIL" dicADsType Adăugați "NT SECURITY DESCRIPTOR" dicADsType Add "NEKNOWN" dicADsType Add "DN WITH BINARY" dicADsType Add "DN WITH STRING" pentru intIndex - To (objObject PropertyCount - ) setați objPropEntry - objObject Item(intlndex) pentru fiecare objPropValue În valoarea objPropEntry Val ues - "" if (dicAOsType(objPropValue AOsType) - "DN STRING") atunci valoare - objPropValue DNStnng el seif (dicADsType(objPropValue ADsType) - 'CASE EXACT STRING") apoi valoarea - objPropValue CaseExactString elself (dicADsType(objPropValue ADsType) - ''CASE IGNORE STRING") apoi valoare - objPropValue CaselgnoreString elself (dicADsType(objPropValue ADsType) - "PRINTABLE STRING") apoi valoare - objPropValue PrintableString Vizualizarea valorilor atributelor obiectului elself (d cADsType(objPropValue ADsType) - "NUMERIC STRING") apoi valoare - objPropValue NumericString elself (d cADsType(objPropValue ADsType) - "BOOLEAN") apoi valoare - CStrlobjPropValue Boolean) elself (dicADsType(objPropValue ADsType) - "INTEGER") tnen valoare - objPropValue Integer elself (dicADsType(objPropValue ADsType) - "LARGEJNTEGER") apoi set objLargelnt - objPropValue Largelnteger valoare - objLargelnt HighPart * A + objLargelnt LowPart elself (d cADsType(objPropValue ADsType) - "UTCJIME") apoi valoare - objPropValue UTCTime altfel valoare - " " sfârşitul dacă WScrlpt Echo objPropEntry Name & " : " & valoare Următorul Următorul funcția finală Un comentariu Obiectele din Active Directory sunt formate din seturi de atribute Un atribut poate fi una sau mai multe valori și este unul dintre tipurile de date definite în schema Active Directory Pentru o listă completă a tipurilor de date ale atributelor obiectului, consultați Rețeta (Capitolul ) Spre o soluție cu o interfață grafică de utilizator Utilitarul LDP vă permite să specificați lista de atribute pe care le returnează în câmpul Atribute din caseta de dialog care se deschide ca răspuns la comanda Opțiuni ► Căutare Dacă doriți să includeți toate atributele în rezultatele căutării, introduceți caracterul asterisc (*) Dacă este necesar un subset al acestora, enumerați atributele necesare, separându-le cu punct și virgulă ( ) La soluție folosind interfața de linie de comandă Opțiunea -attr a comenzii dsquery oferă o listă de atribute separate prin spațiu ale căror valori doriți să le vizualizați Simbolul * indică toate atributele În comanda ENUMprop, după comutatorul /attr trebuie introdusă o listă de atribute separate prin virgulă Următorul este un exemplu de comandă care returnează numai calea și atributele create: > enishirgor /ATTR;pate whenCreated ',T AP:// " Capitolul Obiecte și operații asupra acestora Către o soluție VBScript Funcția Di spl ayAttri butes listează valorile atributelor obiectului dat Folosind funcția GetObject, variabila declarată este asociată cu acest obiect, după care memoria cache a proprietăților locale este umplută cu valorile atributelor obiectului ca urmare a aplicării metodei IADs::GetlInfo Pentru a afișa valoarea proprietății următoare, trebuie să cunoașteți tipul acesteia (sintaxă) Metoda ADsType returnează o valoare întreagă din enumerarea ADSTYPEENUM indicând tipul proprietății specificate (de exemplu, BOOLEAN), după care, pe baza rezultatului , metoda corespunzătoare este numită (să presupunem că bool eap), care și imprimă valoarea proprietății pe ecran Dacă nu a fost efectuată nicio analiză a tipului de proprietate și, să zicem, metoda CaselgnoreString a fost folosită pentru a scoate orice valoare, atunci ar fi generată o eroare atunci când lucrați cu un șir de octeți (adică cu date binare), deoarece reprezentările CaselgnoreString pentru acest tip de date nu există Valorile din enumerarea ADSTYPEENUM din această soluție sunt stocate ca obiect Scripting Dictionary, care este un set de perechi cheie-valoare În obiectul specificat, cheia de dicționar este o constantă întreagă dintre cele reprezentate în ADSTYPEENUM, iar valoarea este numele text al acestei constante Iterarea peste proprietăți se face folosind obiectele IADs -PropertyList și lADsPropertyEntry, care sunt instanțiate de metoda lADsProperty-List: :Item Funcția Di spl ayAttri butes este folosită și în alte soluții din această carte pentru a afișa opțional atributele unui obiect dat Vezi si Documente MSDN: lADsPropertyEntry, MSDN LADsPropertyList, MSDN ADSTYPEENUM și MSDN: IADs::GetInfo Utilizarea obiectelor de control LDAP Problemă Când efectuați o operație LDAP, trebuie să utilizați unul dintre obiectele de control LDAP Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați comanda Opțiuni ► Controale (Opțiuni ► Obiecte de control) În versiunea Windows Server a LDP, selectați obiectul de control pe care doriți să îl utilizați din lista Încărcare predefinită Numele acestuia va fi adăugat automat la lista Active Controls Utilizarea obiectelor de control LDAP (Obiecte active) În versiunea Windows a LDP, introduceți identificatorul obiectului (Object Identifier, OID) în câmpul Object Identifier În câmpul Valoare, introduceți valoarea obiectului de control În câmpul ControlType (Tip obiect), selectați tipul obiectului de control - client sau server Dacă acest control este critic, bifați caseta de selectare Criticai Faceţi clic pe butonul Înregistrare Faceţi clic pe butonul OK Activați operațiunea serviciului LDAP (de exemplu, căutare) care va utiliza obiectul de control selectat În caseta de dialog care se deschide ca urmare a pașilor de mai sus, înainte de a începe operația, bifați caseta de selectare Extins (Avansat) Folosind un script VBScript Niciuna dintre interfețele de automatizare Active Directory Service Interface (ADSI) nu oferă suport direct pentru obiectele de gestionare LDAP, astfel încât metodele pe aceste obiecte nu pot fi apelate folosind scripturi VBScript Cu toate acestea, multe dintre ele, cum ar fi obiectul de căutare paginat sau obiectul de ștergere subarboresc, au wrapper-uri sub formă de metode ADSI care pot fi utilizate în scripturile VBScript Pentru a efectua operațiuni LDAP folosind obiecte de control, orice API bazat pe protocolul specificat este potrivit, de exemplu, modulele Perl's Net :LDAP Un comentariu Utilizarea controalelor LDAP este definită în versiunea a specificației LDAP ca o modalitate de a extinde capacitățile acestei tehnologii fără a încălca protocolul de bază Un număr destul de mare de astfel de obiecte au fost deja implementate Unele dintre ele sunt folosite la căutarea informațiilor în catalog (inclusiv căutarea pagină cu pagină și căutarea obiectelor șterse, precum și în interogări bazate pe valorile atributelor), altele sunt necesare pentru a efectua diverse operațiuni legate de modificarea catalogului, în în special, pentru a muta obiecte între domenii , ștergerea arborilor și modificarea permisiunilor Obiectele de control pot fi marcate ca critice La executarea unei cereri, un obiect marcat în acest fel este supus unei prelucrări obligatorii; în caz contrar, serverul ar trebui să returneze un mesaj de eroare Dacă un obiect de control neacceptat de server este marcat ca critic, serverul POATE să-l ignore și să proceseze cererea Lista completă a obiectelor de management acceptate de Active Directory este prezentată în Tabelul Capitolul Obiecte și operații asupra acestora Tabelul Obiecte de control LDAP acceptate de Active Directory OID Nume Descriere Rezultate paginate Spune serverului să returneze rezultatele căutării pagină cu pagină Cross Domain Move Folosit pentru a muta obiecte între domenii DIRSYNC Proiectat pentru a căuta obiecte care s-au modificat într-o anumită perioadă de timp Domaln Scope Împiedică serverul să redirecționeze o solicitare în timpul procesării acesteia DN extins Returnează numele distinctiv al unui obiect, împreună cu GUID-ul și SID-ul acestuia (pentru principii de securitate) Laz> Comnrlt Spune serverului să raporteze succesul unei cereri după ce modificările făcute în director sunt scrise în memorie, dar înainte de a fi scrise pe disc Acest lucru accelerează foarte mult procesarea cererilor pentru un număr mare de modificări Notificare modificări Folosit de clienți în timpul înregistrării pentru a primi notificări privind modificările în catalog Modificare Pernrlssive Vă permite să adăugați din nou o anumită valoare de atribut sau să eliminați un atribut care nu are valoare (în mod implicit, o încercare de a efectua aceste operațiuni se termină cu un mesaj de eroare) Steaguri SD Folosit la transmiterea de steaguri către server pentru a controla anumite setări de securitate Opțiuni de căutare Folosit la transmiterea de steaguri către server pentru a controla anumite opțiuni de căutare Afișare obiecte șterse Instruiește serverului să returneze datele obiectelor șterse care corespund anumitor criterii Utilizarea obiectelor gestionate de LDAP OID Nume Descriere Solicitare de sortare pe partea serverului Spune serverului să sorteze rezultatele căutării Server-s de Sort Response Serverul returnează acest obiect de control ca răspuns la o solicitare de sortare Tree Delete Proiectat pentru a șterge o parte din arborele de directoare, inclusiv toate obiectele copil Verify Naire Vă permite să specificați un anumit server de catalog global pentru a verifica atributele utilizate la efectuarea operațiunilor de adăugare și actualizare VLV Request Vă permite să solicitați prezentarea rezultatelor căutării ca o listă virtuală Nou în Windows Server Răspuns VLV Conține răspunsul de la server căruia i sa cerut să prezinte rezultatele căutării ca o listă virtuală Nou în Windows Server Interogare în domeniul atributului Specifică faptul că interogarea trebuie să se bazeze pe un atribut Nou în Windows Server Consultați rețeta pentru un exemplu Statistici de căutare Vă permite să obțineți informații statistice despre solicitarea L AP Vezi rețeta pentru un exemplu Recuperare incrementală a mai multor valori Folosit pentru a prelua o parte din valorile unui atribut cu mai multe părți (în loc de toate valorile sale simultan) Nou în Windows Server Vezi si Specificația RFC (Lightweight Directory Access Protocol (ѵ )) descrie obiectele de control LDAP De asemenea, consultați documentele MSDN: Extended Controls și MSDN: Using Controls Capitolul Obiecte și operații asupra acestora Folosind Quick și legarea paralelă Problemă Doriți să efectuați o legătură LDAP utilizând o metodă de legare paralelă sau rapidă Legarea paralelă este de obicei utilizată atunci când trebuie să autentificați mai mulți utilizatori care nu au nevoie de acces direct la director sau când directorul este accesat folosind un alt cont Soluția Utilizarea interfeței grafice cu utilizatorul Legarea în paralel se realizează după cum urmează Rulați utilitarul LDP Executați comanda Conexiune > Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceţi clic pe butonul OK Executați comanda Opțiuni ► Opțiuni conexiune (Opțiuni ► Opțiuni conexiune) Din lista Optlon Name, selectați LDAP OPT FAST CON-CURRENT BIND O Faceți clic pe butonul Setați Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Un comentariu Legătura paralelă efectuată în timpul procesului de autentificare nu generează un token de securitate și sistemul nu verifică la ce grupuri aparține utilizatorul, spre deosebire de legarea obișnuită Singura verificare care se efectuează este confirmarea parolei Prin urmare, legarea paralelă este mult mai rapidă decât legarea normală Poate fi folosit numai dacă, după conectarea la controler Pașii din această rețetă pot fi executați numai pe un controler de domeniu Windows Server і ; Folosind legarea rapidă și paralelă domeniu, dar înainte de a încerca conectarea, trebuie setat parametrul de sesiune În acest caz, toate încercările ulterioare de a comunica prin această conexiune vor fi efectuate în mod paralel Metoda de legare paralelă are mai multe dezavantaje În primul rând, devine imposibilă utilizarea semnăturilor electronice și a criptării, astfel încât toate datele sunt transmise prin rețea necriptate În al doilea rând, pentru că nu este generat niciun token de securitate pentru utilizator, accesul la director este anonim, cu restricții stabilite pentru principalul de securitate ANONYMOUS LOGON Există un alt tip de legare introdus în Windows numită legare rapidă Procedura de implementare a acestuia este diferită de cea descrisă mai sus Legarea rapidă este implementată în ADSI Esența sa constă în faptul că atunci când un obiect este legat, atributul lui objectCl ass nu este solicitat și, prin urmare, interfețele I AD-uri specifice clasei sale rămân inaccesibile De exemplu, în cazul legării rapide a unui obiect utilizator, sunt disponibile doar interfețele de bază ale IAD-urilor, dar nu ADsUser Iată o listă completă de interfețe care pot fi folosite pentru a lucra cu un obiect obținut prin legarea rapidă: IADs, lADsContainer, IDirectoryObject, IDirectorySearch, lADsPropertyList, lADsObject-Options, ISupportErrorInfo și lADsDeleteOps Pentru legarea rapidă, se utilizează interfața lADsOpenDSObject: :OpenDS Object Dacă interfața lADsContainer GetObject este apelată pe un obiect copil al cărui obiect părinte a fost obținut folosind legarea rapidă, se va efectua aceeași legătură rapidă Spre deosebire de legarea paralelă, legătura rapidă ADSI nu impune nicio restricție asupra capacităților utilizatorului autentificat Totuși, dacă este utilizat, interfețele IAD-uri specifice obiectelor din această clasă devin indisponibile, iar verificarea existenței unui obiect la apelarea OpenDSObject nu este efectuată Legarea rapidă ADSI este utilă în special atunci când trebuie să actualizați multe obiecte care sunt probabil să existe, iar actualizările nu necesită interfețe IAD-uri care sunt specifice acelui tip de obiect (Poate că prezența unor astfel de obiecte este verificată în prealabil printr-o interogare ADO care returnează o listă cu numele lor distincte ) Apoi, în loc de două contacte de rețea, se face doar unul pentru fiecare operație de legare a obiectelor Iată un exemplu de cod care demonstrează cum să utilizați metoda de legătură rapidă ADSI: const ADS FAST BIND - set objLDAP - GetObject!"LDAP ") set objUser - objLDAP OpenDSObject("LDAP-// " " " " " ADS FAST BIND) Vezi si MSDN Docs: Utilizarea legăturii simultane și MSDN: ADS AUTHENTICA-TION ENUM capitolul Găsirea obiectelor într-un domeniu Problemă Doriți să găsiți obiecte în domeniu care corespund anumitor criterii Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Alegeți Conexiune ► Conectare În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceţi clic pe butonul OK Selectați comanda Conexiune ► Legare (Conexiune ► Legare) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Selectaţi comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al obiectului de la care să începeți căutarea În zona Scop, selectați domeniul de căutare adecvat În câmpul Filtru, specificați specificația filtrului LDAP Faceți clic pe butonul Run Folosind interfața liniei de comandă > dsquery * -scope -filter " '' -attr " " Folosind un script VBScript Acest cod găsește obiecte conform criteriilor date ' - CONFIGURARE SCRIPT strBase - " ;" ' Filtru LDAP valid strAttrs - " ;" ' Lista separată prin virgulă strScope - " " ' Subtree Onelevel sau Base TERMINAREA CONFIGURĂRII set objConn " CreateObjectC'ADODB Connection") objConn Provider " "ADsDSOObject" objConn Open "Active Directory Provider" set objRS - objConn Execute(strBase & strFilter & strAttrs & strScope) objRS MoveFirst În timp ce nu objRS EOF Wscript Echo objRS F elds( ) Value objRS MoveNext Merge încet Un comentariu Cu majoritatea instrumentelor care caută informații în Active Directory, trebuie să aveți cel puțin o înțelegere de bază a modului în care sunt efectuate căutările LDAP pe baza numelui de bază, a domeniului de căutare și a filtrelor pe care le specificați Aceste mecanisme de căutare sunt descrise în detaliu în RFC-urile și Numele distinctiv de bază specifică unde în director ar trebui să înceapă căutarea, domeniul de aplicare specifică ce parte a arborelui de directoare ar trebui să o acopere, iar filtrul este un șir în prefix notație care conține perechile setate "atribut = valoare" Sunt definite trei zone de căutare: bază (bază), un nivel (unelevel sau ope) și subtree (subtree sau sub) Primul include doar numele distinctiv de bază, al doilea include obiectele imediat sub acesta, iar al treilea include întregul subarboresc sub numele distinctiv de bază Sintaxa folosită pentru definirea filtrului este destul de simplă și funcțională, permițându-vă să setați atât interogări elementare, cât și destul de complexe Iată un exemplu de filtru care se potrivește cu toate obiectele reprezentând utilizatori: (&(objectclass-user)(objectcategory-Person)) Pentru mai multe informații despre filtre, consultați RFC Spre o soluție cu o interfață grafică de utilizator Urmați pașii din Rețeta pentru soluția GUI pentru a seta lista de atribute a obiectelor pe care le căutați La soluție folosind interfața de linie de comandă Șirul trebuie să conțină o listă de atribute returnate, separate prin spațiu Dacă sunt lăsate goale, toate atributele care au valori vor fi returnate Către o soluție VBScript Această soluție folosește obiecte ADO pentru a efectua căutări Mai întâi, următoarele trei linii de cod creează un obiect de conexiune: set objConn - CreateObjectC'ADODB Connection") objConn Provider - "ADsDSOObject'' objConn Open "Active Directory Provider" Apoi este apelată metoda Execute, care returnează un obiect de tip ResultSet Pentru a itera peste rândurile acestuia din urmă, sunt utilizate metodele MoveFirst și MoveNext Consultați Rețeta pentru mai multe informații despre modul în care ADO setează parametrii de căutare suplimentari și, în special, dimensiunea paginii Vezi si Rețeta arată cum să vizualizați atributele unui obiect, iar Rețeta arată cum să setați caracteristicile ADO avansate De asemenea, consultați RFC (Lightweight Directory Access Protocol (v )), RFC (Lightweight Directory Access Protocol (v )) și MSDN: Căutare cu ActiveX Capitolul Obiecte și operații asupra acestora Obiecte de date (ADO) Pentru instrucțiuni despre interogare folosind LDAP, consultați: http://www microsoft eom/windows /techinfo/ho-witworks/activedirectory/ldap asp Căutați în catalogul global Problemă Trebuie să utilizați Active Directory global pentru a căuta în întreaga pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați Conexiune ► Conectare În câmpul Server, introduceți numele serverului de catalog global În câmpul Port, introduceți Faceţi clic pe butonul OK Selectați comanda Conexiune ► Legare (Conexiune ► Legare) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Rulați comanda Răsfoire ► Căutare (Căutare ► Găsiți) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al obiectului de la care să începeți căutarea I În zona Scop, selectați domeniul de căutare În câmpul Filtru, introduceți specificația filtrului LDAP Faceți clic pe butonul Run Folosind interfața liniei de comandă > dsquery * -gc -scope -filter " " -attr " " Folosind un script VBScript Acest cod caută în catalogul global * CONFIGURARE SCRIPT strBase - " ;" strAttrs - " ;" strScope - " " ' TERMINAREA CONFIGURĂRII set objConn - CreateObject("ADODB Connection") objConn Provider - "ADsDSOObject" objConn Open "Active Directory Provider" Căutați un număr mare de obiecte set objRS ■ objConn Execute(strBase & strFIlter & strAttrs & strScope) objRS MoveFirst while Not objRS EOF Wscript Echo objRS Fields( ) Value objRS MoveNext merge încet Un comentariu Catalogul global oferă posibilitatea de a căuta întreaga pădure O căutare LDAP normală pe portul se uită numai la o anumită secțiune din Active Directory - domeniu, configurație, schemă sau aplicații - și numai într-un domeniu Dacă există mai multe domenii în pădure, nu le puteți vizualiza pe toate în acest fel Catalogul global conține un subset al atributelor tuturor obiectelor din pădure, cu excepția obiectelor din partițiile aplicației Poate fi considerat ca un subset al tuturor celor patru partiții combinate de catalog Active Directory Dacă căutarea dvs nu reușește să returneze valorile unor atribute, atunci aceste atribute nu sunt incluse în catalogul global Consultați Rețeta (Capitolul ) pentru cum să faceți acest lucru Spre o soluție cu o interfață grafică de utilizator Singura diferență dintre această soluție și cea sugerată în Rețeta este că portul este înlocuit cu portul implicit de catalog global La soluție folosind interfața de linie de comandă Singura diferență între această soluție și cea sugerată în Rețeta este adăugarea steagului -ds Către o soluție VBScript Această soluție diferă de cea propusă în Rețeta doar prin valoarea variabilei strBase - în acest caz, i se atribuie valoarea GC:identificator programatic: strBase - " dsquery * -limit -scope -filter " " -attr " " Folosind un script VBScript Acest cod efectuează o căutare paginată ' - CONFIGURARE SCRIPT strBase - " >:" strFilter - '' ;n strAttrs = " ;" strScope • " ~ ' TERMINAREA CONFIGURĂRII - set objConn - CreateObjectC'ADCDB Connection") objConn Provider - "ADsDSOObject" objConn Dpen "Furnizor Active Directory" set objComm - CreateObjectC'ADODB Command") objComm ActiveConnection - objConn objComm PropertiesC"Page Size") - objComm CommandText " strBase & strFilter & strAttrs & strScope set objRS - objFirst Execute objComjRS Wscript Echo objRS Fields( ) Valoare objRS MoveNext merge încet Un comentariu Căutarea de paginare este implementată folosind un obiect de control LDAP Aceste obiecte sunt definite în RFC , iar obiectul pagedResultsControl care efectuează căutări de paginare este definit în RFC Obiecte de control Căutarea valorii atributelor compuse sunt extensii la LDAP care nu sunt integrate direct în protocol și, prin urmare, nu toți furnizorii de servicii de director oferă suport complet pentru acestea NOTĂ - Prin modificarea politicii de interogare LDAP, puteți modifica dimensiunea implicită a paginii în Active Directory Pentru mai multe informații despre acest subiect, vezi Rețeta Dacă trebuie să căutați sute de mii de obiecte, rețineți că, chiar dacă paginați rezultatele, nu veți obține mai mult de de obiecte din Active Directory Această valoare este definită în politica de interogare LDAP și, la fel ca dimensiunea maximă a paginii, poate fi modificată (vezi Rețeta ) Spre o soluție cu o interfață grafică de utilizator Când utilizați programul LDP pentru a afișa un număr mare de obiecte, rețineți că în panoul din dreapta sunt afișate implicit doar de rânduri Numărul acestora poate fi schimbat - doar selectați comanda Opțiuni ► General (Parametri ► General) iar în câmpul Dimensiune tampon (Dimensiune tampon) introduceți o valoare mai mare în câmpul Valoare Une (Număr de linii) La soluție folosind interfața de linie de comandă Singura diferență între această soluție și cea sugerată în Rețeta este utilizarea opțiunii -limit Dacă această opțiune este setată la , paginarea este activată, dar dacă nu este setată deloc, comanda dsquery returnează un maxim din de obiecte Către o soluție VBScript Pentru a putea efectua căutări de paginare cu ADO, trebuie să instanțiați un obiect ADO Command Vă permite să setați o varietate de proprietăți de interogare, inclusiv dimensiunea maximă a setului de rânduri, limita de timp și dimensiunea paginii Consultați ajutorul MSDN pentru o listă completă a proprietăților de interogare Vezi si Rețeta - este despre efectuarea unei căutări de obiecte, iar Rețeta - este despre vizualizarea politicii LDAP implicite De asemenea, consultați RFC (Lightweight Directory Access Protocol (v )), RFC (LDAP Control Extension for Simple Paged Results Manipulation) și MSDN: Searching with ActiveX Data Objects (ADO) Căutarea valorii atributelor compuse Problemă Este necesar să solicitați valorile atributelor compuse ale obiectelor date din catalog Această rețetă arată cum să faceți acest lucru într-o singură solicitare, în timp ce metoda de mai sus necesită mai multe solicitări Capitolul Obiecte și operații asupra acestora Soluția Utilizarea interfeței grafice cu utilizatorul Urmând pașii din Rețeta , selectați obiectul de control LDAP Apoi selectați obiectul Interogare cu scop atribut (rețineți că puteți selecta obiecte după nume în LDP pentru Windows Server ) În programul Windows LDP, setați OID-ul obiectului la În câmpul Valoare, introduceți numele atributului compus (de exemplu, membru) Faceţi clic pe butonul Înregistrare Faceţi clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al obiectului care conține atributul necesar Activați comutatorul de bază în zona Scop, În câmpul Filtru, introduceți o specificație de filtru LDAP pentru a selecta obiectele care fac parte din atributul specificat Faceți clic pe butonul Run Folosind interfața liniei de comandă La momentul publicării acestei cărți, niciuna dintre comenzi nu accepta căutarea atributelor compuse Folosind un script VBScript La momentul publicării acestei cărți, căutarea atributelor compuse nu era acceptată în ADSI, ADO sau VBScript Când căutați prin ADO, puteți utiliza proprietatea ADSI Flags a obiectului Connection pentru a seta parametrii, dar nu puteți seta valorile atributelor pentru a filtra obiectele Un comentariu Dacă, atunci când lucrați cu un obiect de grup, trebuie să găsiți un anumit subset de membri ai grupului selectând-l după valorile anumitor atribute sau să extrageți un subset de atribute pentru fiecare membru, acest lucru nu va fi ușor Mai întâi ar trebui să interogați lista completă a membrilor grupului și apoi să utilizați interogări separate pentru a extrage subsetul necesar de atribute pentru fiecare membru al grupului care vă interesează Windows Server a introdus capacitatea de a efectua această sarcină (adică de a obține un subset de obiecte sau un subset de atribute ale acestora) folosind o singură interogare Să aruncăm o privire la opțiunile de căutare LDAP utilizate în astfel de interogări Această rețetă poate fi folosită atâta timp cât nivelul funcțional al pădurii este Windows Server Căutare cu un filtru pe biți O Valoare - Valoarea controlului Interogare Atribut Scoped (un atribut compus care conține numele distinctive ale obiectelor de căutat, cum ar fi atributul membru) Un DN de bază (Base Distinguished Name) este numele distinctiv al obiectului care conține atributul compus (în special, crHtomaln Adnrins cn"users dc=rall encorp, dc-com) O Scope - Acest parametru este setat la Vase О Filter (Filter) - un filtru pentru selectarea obiectelor specificate în primul parametru De exemplu, filtrul (&(objectclass=user)(objectcategory-=Person)) se potrivește cu toate obiectele utilizator care fac parte din obiectul specificat în parametrul Base N Puteți utiliza orice alte atribute ale obiectului Și filtrul (&(objectcl ass-user) (objectcategory^Person) (department-Sales)) se potrivește cu toate obiectele utilizator care au atributul departament setat la "Vânzări" О Atribute (Atribute) - o listă de atribute returnate ale acelor obiecte care corespund criteriului de selecție specificat Vezi si Documente MSDN: Efectuarea unei interogări în domeniul atributului și MSDN: Căutare cu obiecte de date ActiveX (ADO) Căutare cu un filtru pe biți Problemă Este necesar să folosiți un filtru pe biți pentru a găsi un atribut care conține un indicator de biți dat Soluţie Utilizarea interfeței grafice cu utilizatorul Urmând instrucțiunile din Rețeta , setați parametrii de căutare pentru obiectele dorite În câmpul Filtru, introduceți o expresie de comparație pe biți similară următoarei pentru a găsi toate grupurile universale: (&(objectcl ass-group)(objectCategory-group)(groupType: , := ) ) Faceți clic pe butonul Run Folosind interfața liniei de comandă Următoarea interogare, care utilizează filtrul R, returnează o listă de grupuri universale: > dsquery * cn-users dc-rallencorp,dc-com -scope subtree -attr "nume" -filterj "(&(objectclass-group)(objectCategory-group)(groupType: :- ))" Capitolul Obiecte și operații asupra acestora Următoarea interogare este concepută pentru a găsi conturi de utilizator dezactivate utilizând un filtru ȘI pe biți: > dsquery * cn-users dc"rallencorp dc-com -attr name -scope subtree -filter "(&(objectclass-user)(objectcategory=person)(useraccountcontrol: j - ) )" Folosind un script VBScript ' Următorul cod returnează toate conturile de utilizator dezactivate strBase - " ;" strFIlter - "(&(objectclass-!user)(objectcategory=persoană)" & '(useraccountcontrol: :- ));" strAttrs - "nume;" strScope - "subtree" set objConn - CreateObjectC'ADODB Connection") objConn Provider - "ADsDSOObject" objConn Deschideți "Active Directory Provider" set objRS - objConn Execute(strBase & strFilter & strAttrs & strScope) objRS MoveFirst while Not objRS EOF Wscript Echo objRS F i elds( ) Va ue objRS MoveNext merge încet Un comentariu Active Directory folosește adesea atribute de semnalizare de biți pentru a combina mai multe proprietăți ale obiectului într-un singur atribut De exemplu, atributul groupType al unui obiect de grup este un set de indicatori de biți care definesc domeniul și tipul grupului Atributul userAccountControl al utilizatorului și al obiectelor computer conține multe proprietăți, inclusiv starea contului (activat sau dezactivat), dacă contul este blocat, dacă are o parolă, dacă are un smart card și așa mai departe Obiectul attributeSchema are atribute searchFlags și systemFlags care determină dacă atributul este generat, indexat și inclus în catalogul de servicii ANR (Ambiguous Name Re-solution) Când căutați obiecte după valorile unor astfel de atribute, ar trebui să utilizați filtre pe biți Există două tipuri de astfel de filtre: unul folosește operația logică AND, iar celălalt folosește R În filtru, aceste operațiuni sunt implementate sub forma unei așa-numite reguli de potrivire Regula de potrivire îi spune serverului LDAP (în acest caz, controlerul de domeniu) cum să interpreteze componentele filtrului De exemplu: (userAccountControl• :- ) O regulă de potrivire are următorul format: (nume atribut: -match rule-value) După cum am menționat mai sus, există două reguli de potrivire cu OID-uri diferite Operația logică AND corespunde cu OID , iar operația OR corespunde cu OID Ambii identificatori spun serverului cum să interpreteze expresia filtrului Căutare cu un filtru pe biți Filtrul R returnează TRUE dacă cel puțin un bit din atribut și valoare se potrivește, iar filtrul AND returnează TRUE dacă toți biții de atribut și valoare se potrivesc Să luăm în considerare un astfel de exemplu Pentru a crea un cont de utilizator standard, trebuie să setați atributul userAccountControl la Acest număr este rezultatul adăugării indicatorului de cont standard la indicatorul "dezactivat", care este ( + - ) Dacă utilizați următoarea expresie de filtru bazată pe operația R cu o valoare de : (useraccountcontrol:! :- ) toate conturile de utilizator obișnuite vor fi returnate (indicatorul ), precum și conturile dezactivate (indicatorul ) Acesta din urmă include nu numai înregistrările utilizatorilor dezactivați, ci și înregistrările computerului dezactivate, deoarece ambele au marcajul Unul dintre avantajele regulilor de potrivire pe biți este că vă permit să combinați mai multe comparații într-un singur filtru Astfel, expresia de filtrare de mai sus ar putea fi scrisă după cum urmează: (I(useraccountcontrol: :- ) (useraccountcontrol: :- )) Ca și în cazul precedent, acest filtru este utilizat pentru a selecta obiecte al căror atribut userAccountControl conține flag sau (sau ambele flag-uri) Operația R funcționează într-un mod similar, dar necesită ca toți biții din valorile comparate să se potrivească Dacă în exemplul anterior îl folosim în locul operației R: (useraccountcontrol: = ) va fi returnată doar o listă de conturi de utilizator dezactivate, nu computere Același filtru poate fi compus din două expresii de comparație folosind operatorul &: (&(useraccountcontrol: :- ) (useraccountcontrol: - )) Este important de reținut că atunci când se compară valorile pe un singur bit, operațiile AND și R pe biți returnează același rezultat Prin urmare, pentru a găsi toate conturile de utilizator obișnuite, trebuie să selectați obiecte care au setat doar marcajul , ceea ce poate fi făcut folosind oricare dintre următoarele filtre: (useraccountcontrol :- ) (useraccountcontrol - ) Vezi si Documente MSDN: Enumerarea grupurilor după domeniu sau tip într-un domeniu, MSDN Determinarea ce proprietăți sunt nereplicate, construite, catalog global și indexate și MS KB (Cum se utilizează steaguri UserAccountControl pentru a manipula proprietățile contului de utilizator) Capitolul Obiecte și operații asupra acestora Creați un obiect Problemă Doriți să creați un nou obiect în Active Directory Soluţie Fiecare dintre următoarele soluții este demonstrată prin adăugarea unui obiect utilizator în director pentru a reprezenta un utilizator Modificați aceste exemple cu clasa și atributele pe care doriți să le creați Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edit aflat în panoul din dreapta și selectați comanda Connectto din meniul contextual care se deschide Specificați dacă contextul de denumire este container sau OU pentru obiect Dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau unitatea organizațională în care doriți să adăugați obiectul Apoi faceți clic dreapta pe el și selectați Nou ► Obiect din meniul contextual care se deschide În lista Select a Oass, verificați elementul utilizator În câmpul cn (nume comun), introduceți jsmith și faceți clic pe butonul Următorul În câmpul sAMAccountName (nume cont SAM), introduceți jsmith și faceți clic pe butonul Următorul Faceți clic pe butonul Mai multe atribute pentru a introduce atribute suplimentare Faceți clic pe butonul Rnish Folosind interfața liniei de comandă Creați un fișier LDIF denumit create objectldf cu următorul conținut: dn: cn-jsm th cn-users dc-ra encorp dc-com tip de modificare: adăugare obiectClass: user samaccountname: jsmith Apoi rulați comanda: > Idifde -v -i -f create object ldf Dacă trebuie să adăugați mai multe obiecte, puteți utiliza utilitarul dsadd Pentru a vă familiariza cu sintaxa sa, rulați utilitarul astfel: dsadd /? Folosind un script VBScript set objUsersCont - GetObject(LDAP://cn-users dc-rallencorp dc-com") set objUser - objUsersCont Create ("utilizator", "CN-jsmith") objUser Pune "sAKAccountName" "jsmith" ' atribut obligatoriu objUser SetInfo Creați un obiect Un comentariu Pentru a crea un obiect în Active Directory, trebuie să specificați clasa obiectului, numele distinctiv relativ (RDN) și alte atribute necesare care nu sunt setate automat de sistem Unele dintre atribute, inclusiv objectGUID, instanceType și objectCategory, sunt setate chiar de Active Directory În exemplul nostru, clasa de obiect, după cum înțelegeți, este utilizator, numele distinctiv este jsmith și singurul atribut necesar care trebuie setat este sAMAccountName Trebuie remarcat că inițial noul nostru obiect utilizator nu va fi utilizabil deoarece este dezactivat și nu are parolă implicit, dar asta nu contează pentru noi în acest caz Spre o soluție cu o interfață grafică de utilizator Alte instrumente pot fi folosite pentru a crea un obiect în exemplul nostru, în special snap-in-ul Active Directory Users and Computers (Utilizatori și computere Active Directory), dar am ales editorul de obiecte universal ADSI Edit Singurul atribut care nu poate fi setat cu acest editor este parola (unicodePwd) Este stocat în reprezentare binară și nu este supus editării directe Pentru a seta o parolă de utilizator utilizând interfața cu utilizatorul, vă puteți referi la snap-in-ul specificat La soluție folosind interfața de linie de comandă Utilitarul Idifde este descris mai detaliat în Rețeta Folosind utilitarul dsadd, puteți nu numai să creați un obiect, ci și să setați atributele acestuia Cu toate acestea, la momentul publicării acestei cărți, acest utilitar putea crea doar câteva tipuri de obiecte: computer, contact, grup, ou, cotă și utilizator Către o soluție VBScript Când creați un obiect, primul pas este să apelați metoda GetObject, care vă permite să obțineți o referință la containerul părinte al obiectului Metoda Create este apoi apelată, trecând clasa noului obiect precum și numele său distinctiv relativ ca parametri Valoarea atributului sAMAccountName este apoi setată folosind metoda Put În cele din urmă, modificările sunt salvate folosind metoda SetInfo Dacă nu apelați metoda SetInfo, noul obiect nu va fi salvat în controlerul de domeniu Vezi si Rețeta vorbește despre importarea obiectelor folosind LDIF De asemenea, consultați documentele MSDN: lADsContainer GetObject, MSDN: IADsContainer::Create, MSDN: IADs::Put și MSDN: IADs::SetInfo Capitolul Obiecte și operații asupra acestora Modificarea valorilor atributelor obiectului Problemă Trebuie să modificați valorile unuia sau mai multor atribute ale unui obiect Soluţie Următoarele opțiuni setează valoarea atributului sn (numele) al obiectului utilizator numit jsmith Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edft aflat în panoul din dreapta și selectați comanda Nect to din meniul contextual care se deschide, apoi specificați în care contextul de denumire - container sau diviziune - este obiectul Dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau OU care conține obiectul pe care doriți să îl modificați După ce ați găsit obiectul, faceți clic dreapta pe el și selectați comanda Proprietăți din meniul contextual care se deschide Selectați atributul sn de editat Introduceți numele Sml th și faceți clic pe butonul OK Faceți clic pe butonul Aplicare Folosind interfața liniei de comandă Creați un fișier LDIF numit modify object Idf cu următorul conținut: dn: cn-jsml th, cn-users dc-ra encorp dc*=com changetype: modifică adaugă: givenName givenName: Jim Apoi rulați comanda: > Idifde -v - -f mod fy object ldf Dacă trebuie să modificați mai multe obiecte, utilizați comanda dsmod Pentru a vă familiariza cu sintaxa acesteia, rulați comanda astfel: dsmod /? ' Folosind un script VBScript strObjectDN *= "cn*=jsmith cn-users dc-rallencorp dc-com" set objUser - GetObjectCLDAP://" și strObjectDN) objUser Pune "sn" Smith objUser SetInfo Modificarea valorilor atributelor obiectului Un comentariu Spre o soluție cu o interfață grafică de utilizator Dacă containerul părinte al obiectului pe care urmează să-l modificați conține multe obiecte, este posibil să doriți să creați o conexiune la acel obiect, ceea ce este mult mai ușor decât să răsfoiți întregul container Pentru a face acest lucru, faceți clic dreapta pe elementul ADSI Edit și selectați comanda Connectto din meniul contextual, apoi în zona Connection Polnt, setați comutatorul pe Select sau tastați Distinguished Name or naming context (Selectați sau introduceți un nume distinctiv sau denumire context) și introduceți numele distinctiv al obiectului La soluție folosind interfața de linie de comandă Utilitarul Idifde este descris mai detaliat în Rețeta Utilitarul dsmod, la momentul publicării acestei cărți, permitea doar modificarea câtorva tipuri de obiecte: computer, contact, grup, ou, cotă și utilizator Către o soluție VBScript Dacă trebuie să efectuați acțiuni mai complexe decât o atribuire obișnuită (înlocuirea unei valori de atribut), utilizați metoda PutEx în loc de Put Este mai flexibil și vă permite să atribuiți mai multe valori, să eliminați valorile setate și să adăugați o valoare la sfârșitul alteia Metoda PutEx are trei parametri: un flag de actualizare, un nume de atribut și o serie de valori Indicatoarele de actualizare sunt definite în lista ADS PROPERTY OPERATION ENl!M și sunt descrise în Tabel Modificările trebuie salvate folosind metoda SetInfo Dacă nu este apelat, acestea nu vor fi stocate pe controlerul de domeniu Tabelul ADS PROPERTY OPERATION ENUM enumerare Nume Valoare Descriere ADS PROPERTY CLEAR Eliminați toate valorile atributelor ADS PROPERTY UPDATE Înlocuiți valorile atributelor curente cu cele date ADS PROPERTY APPEND Adăugați valorile date la setul de valori ale atributelor existente ADS PROPERTY DELETE Ștergeți valorile atributelor setate Următorul exemplu utilizează toate cele patru steaguri la rândul lor atunci când setați atributul otherTelephone: strObjectDN - "cn"jsm th,cn=users dc=rallencorp dc-com" const ADS PROPERTY CLEAR - const ADS PROPERTY UPDATE - const ANEXA PROPRIETĂȚII Anunțuri - const ADS PROPERTY DELETE - set objUser - GetObjectCLDAP://'' și strObjectDN) Capitolul Obiecte și operații asupra acestora ' Adăugarea a două valori objUser PutEx ADS PROPERTY APPENO "alt telefon" Matrice (" - " " - ") objUser SetInfo * Acum altTelefon ■ - - ' Eliminați una dintre valori objUser PutEx ADS PROPERTY DELETE "alt telefon" Array(" - ") objUser SetInfo * acum alteTelefon ■ - * Modificarea valorilor objUser PutEx ADS PROPERTY UPDATE "alt telefon" Matrice (" - ") objUser SetInfo ' Acum altTelefon ■ - ' Curățarea atributelor objUser PutEx ADS PROPERTY CLEAR "alt telefon" vbNullString objUser SetInfo ' Acum, otherTelephone este Vezi si MSDN Docs: IADs::Put, MSDN: IADs::PutEx, MSDN: IADs ;SetInfo și MSDN: ADS PROPERTY OPERATION ENUM Schimbarea valorii unui atribut care conține steaguri de biți Problemă Este necesară modificarea valorii atributului care conține steag-ul de biți Soluţie Folosind un script VBScript Acest cod modifică valoarea atributului care conține indicatorul de biți ' CONFIGURARE SCRIPT strObject - " " ' De exemplu cn-jsm th cn-users dc-ra encorp dc-com strAttr - " ' De exemplu: FALSE ntB t - Idifde -v - -f dynamicallyjin^class 'ldf Folosind un script VBScript const ADS PROPERTY APPEND - set objUser = GetObject("LDAP://cn-jsmith cn-users dc-rallencorp,dc-com") objUser PutEx ADS PROPERTY APPEND "objectClass" ArrayCrallencorp-SalesUser") objUser SetInfo Un comentariu Legarea dinamică a unei clase particularizate la un obiect este cea mai simplă modalitate de a aplica atribute noi fără a modifica definiția clasei obiectului în schemă În Windows , clasele personalizate puteau fi legate numai static la schemă Odată cu lansarea Windows Server , a fost introdusă legătura dinamică prin adăugarea numelui unei clase personalizate la atributul objectClass al unui obiect existent Legarea dinamică este o alegere bună, de exemplu, atunci când mai multe departamente dintr-o companie care își mențin propriile obiecte utilizator doresc să adauge noi atribute la clasa de utilizator În Windows , fiecare OU în această situație trebuia să-și creeze propriile atribute și o nouă clasă de utilizator în schemă, apoi să modifice clasa de utilizator pentru a include noua clasă Dacă OU-uri efectuează această operație, vor exista multe atribute noi în obiectele utilizator, dintre care majoritatea se vor aplica doar unei OU În Windows Server , puteți crea atribute și o clasă pentru fiecare OU, apoi puteți asocia în mod dinamic orice clasă cu obiectele care au nevoie de aceste atribute În acest caz, clasa de utilizator va rămâne neschimbată Cu toate acestea, trebuie remarcat faptul că utilizarea intensă a legării dinamice a claselor definite de utilizator duce la anumite probleme Dacă mai multe grupuri folosesc clase de utilizatori diferite, este greu de prezis ce atribute va conține un anumit obiect utilizator În cele din urmă, vor exista multe variații ale clasei de utilizator în director Prin urmare, utilizarea legării dinamice ar trebui să fie strict reglementată Vezi si Modificarea obiectelor este tratată în Rețeta Creați un obiect dinamic Problemă Este necesar să se creeze un obiect care va fi șters automat după un anumit timp după ultima actualizare Capitolul Obiecte și operații asupra acestora Soluția Utilizarea interfeței grafice cu utilizatorul La momentul publicării acestei cărți, nici ADSI Edit, nici LDP nu vă permiteau să creați obiecte dinamice Folosind interfața liniei de comandă Creați un fișier LDIF numit create dynamic object ldf cu următorul conținut: dn: el-jsrnith cn-users dc-rallencorp dc-com changetype: add objectClass: user objectClass: dynami cObject entryTTL: sAMAccountName: jsmith Apoi rulați comanda: > Idifde -v -i -f create dynam c object ldf Folosind un script VBScript ' Acest cod creează un obiect utilizator dinamic care are o durată de viață de de minute ( de secunde) set objUsersCont - GetObjectCLDAP://cn-users dc-rallencorp dc-com") set objUser - objUsersCont CreateCuser" "CN-jsmlth") objUser Puneți "objectClass" "dynamicObject" objUser Puneți "entryTTL" objUser Put "sAMAccountName", "jsmith" ' atribut obligatoriu objUser SetInfo Un comentariu Capacitatea de a crea obiecte dinamice a fost introdusă numai în Windows Server Pentru a crea un astfel de obiect, trebuie să setați atributul objectClass la dynamicObject în plus față de numele clasei sale de bază De asemenea, puteți seta atributul entryTTL la o valoare care specifică numărul de secunde după care va fi șters automat, cu excepția cazului în care îl reîmprospătați între timp Această perioadă se numește durata de viață a obiectului (Time To Live, TTL) Dacă nu este specificată, setarea specificată în atributul dynami cObjectDefaultTTL, care este definit la nivel de domeniu, va avea efect Valoarea atributului entryTTL nu poate fi mai mică decât valoarea atributului dynamicObjectDefaultTTL Pentru mai multe informații despre cum să vizualizați și să modificați aceste atribute, vedeți Rețeta Obiectele dinamice au mai multe caracteristici: Un obiect static nu poate fi făcut dinamic; obiectul trebuie marcat ca dinamic atunci când este creat; Un obiect dinamic nu poate fi creat în contexte de configurare și de denumire a schemei; Puteți urma pașii din această rețetă numai dacă nivelul dumneavoastră funcțional al pădurii este Windows Server Actualizarea unui obiect dinamic U О Ștergerea unui obiect dinamic nu înseamnă îngroparea acestuia - un astfel de obiect este șters imediat; Un obiect dinamic care sunt containere nu poate conține obiecte copil statice Vezi si Rețeta - arată cum să actualizați un obiect dinamic, iar Rețeta - arată cum să schimbați valorile implicite ale atributelor acelui obiect Actualizarea unui obiect dinamic Problemă Obiectul dinamic trebuie actualizat pentru a preveni ștergerea automată a acestuia de către sistemul Active Directory Soluţie Soluțiile de mai jos sunt demonstrate folosind obiectul utilizator ca exemplu Modificați-le și actualizați-vă propriul obiect Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele domeniului sau controlerului de domeniu sau lăsați acest câmp necompletat - în acest caz, conexiunea se stabilește folosind un server arbitrar În câmpul Port, introduceți Faceţi clic pe butonul OK Executați comanda Connection ► Bînd (Connection ► Connect) Introduceți numele de utilizator și parola Faceţi clic pe butonul OK Selectați comanda Răsfoire ► Modificare (Căutare ► Modificare) În câmpul Dn (Nume distinctiv), introduceți numele distinctiv al obiectului pe care alegeți să îl actualizați În câmpul Atribut, introduceți entryTTL În câmpul Valori, introduceți durata de viață a noului obiect (în secunde) Din lista Operațiune (Operațiune) selectați elementul Înlocuire (pentru a înlocui) Apăsaţi tasta Enter Faceți clic pe butonul Run Vezi Capitolul Obiecte și operații asupra lor Folosind interfața liniei de comandă Creați un fișier LDIF refresh dynam c object ldf cu următorul conținut: dn: cn-jsmi th cn-users dc-ral encorp,dc-com changetype: modificare înlocuiți: entryTTL entryTTL: Apoi rulați această comandă: > Idifde -v - -f refresh dynamic object ldf Folosind un script VBScript set objUser - GetObject("LDAP //cn-jsmith cn=users dc-rallencorp dc-com") objUser Put "entryTTL" " " objUser SetInfo Un comentariu Durata de viață a unui obiect este stocată în atributul său entryTTL, care scade continuu până ajunge la zero, moment în care obiectul este șters automat După ce ați citit valoarea acestui atribut, veți ști câte secunde au mai rămas înainte ca obiectul să fie șters Pentru a preveni ștergerea în perioada specificată, este suficient să actualizați pur și simplu obiectul, adică să atribuiți o valoare diferită acestuia atributul entryTTL Un obiect poate fi actualizat de câte ori se dorește și atâta timp cât valoarea atributului lui entryTTL este mai mare decât zero, obiectul rămâne în Active Directory Vezi si Rețeta este despre modificarea unui obiect, iar Rețeta este despre crearea unui obiect dinamic Modificarea duratei de viață implicite a obiectelor dinamice Problemă Doriți să modificați durata de viață minimă și implicită a obiectelor dinamice Soluția Următoarele soluții setează atributul DynamicObjectDefaultTTL la Modificarea valorii atributului DynamicObjectMinTTL se face în același mod Această rețetă poate fi utilizată numai dacă nivelul funcțional al pădurii este Windows Server Modificarea duratei de viață a obiectelor dinamice Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă nu există niciun element pe ecran care să se potrivească cu contextul de configurare, faceți clic dreapta pe elementul ADSI Edit situat în panoul din dreapta și selectați comanda Conectare la din meniul contextual care se deschide Specificați contextul de denumire necesar; dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Advan-ced În panoul din stânga, extindeți următoarele containere de secțiune de configurare: Servicii, Windows NT, apoi Serviciu director Faceți clic dreapta pe containerul cn=Directory Service și selectați Proprietăți din meniul de comenzi rapide care se deschide Selectați atributul msDS-Other-Settings de editat Faceți clic pe elementul upatis b]ec eGaiISHP = , afișează setările curente pentru durata de viață a obiectului, setează atributul DynanricObjectDefaultTTL la , salvează modificările și afișează rezultatele: > ntdsutil "config settlngs" conexiuni "conectează-te la server " q J "afișează valori" "setează DynanricObjectDefaultTTL la " "commite modificări" "afișează valori" qq Folosind un script VBScript * Acest cod modifică setările implicite ' durata de viață pentru obiectele din pădure dinamice - CONFIGURARE SCRIPT - strNewValue - ' Dacă doriți să modificați valoarea atributului DynamicObjectMinTTL ' specificați yin-ul său în loc de numele DynanricObjectDefaultTTL: strTTLSetting - 'DynanricObjectDefaultTTL" ' -Sfârșitul configurației - const ADS PROPERTY APPEND - const ADS PROPERTY DELETE = set objRootDSE - GetObjectC"LDAP://RootDSE") set objDS " GetObjectC"LDAP://CN-Directory Service,CN=Windows NT " & "CN-Services CN-Configuration " & objRootDSE Get("rootDomai nNanri ngContext") pentru fiecare strVal din objDS Get("msDS-Other-Settings") Set objRegEx - New RegExp Capitolul Obiecte și operații asupra acestora objRegEx Pattern - strTTLSetting & objRegEx IgnoreCase = Adevărat Set colMatches - objRegEx ExecuteCstrVal) Pentru fiecare objMatch n colMatch Wscript Echo "Ștergerea" și strVal objDS PutEx ADS PROPERTY DELETE "msDS-Alte-Setări" Array(strVal) objDS SetInfo Următorul Următorul Wscript Echo "Setare" & strTTLSetting & & strNewValue objDS PutEx ADS PROPERTY APPEND "msDS-Other-Settings" ArrayCstrTTLSetting & & strNewValue) objDS SetInfo Un comentariu Comportamentul obiectelor dinamice depinde de valorile a doi parametri de configurare: o dynamicObjectDefaultTTL - Durata de viață implicită a obiectelor dinamice, cu excepția cazului în care o altă valoare pentru atributul entryTTL este setată în mod explicit atunci când sunt create; Despre dynami cObjectMi nTTL este durata minimă de viață care poate fi setată pentru astfel de obiecte Din păcate, aceste valori nu sunt stocate în două atribute separate, ci într-un singur atribut msDS-Other-Settings al obiectului cn=D rectory Services cn-Windows-NT cn-Configuration, sub formă de așa-numitele afirmații Attribute-Value-Assertion (AVA) Asemenea afirmații sunt uneori folosite în atributele Active Directory compuse ale căror valori sunt de forma mmya =valoare , nume ~valoare și așa mai departe Atributele AVA nu pot fi manipulate ca atributele obișnuite Valorile adăugate sau înlocuite trebuie să fie în același format ca și valorile originale La soluție folosind interfața de linie de comandă Utilitarul ntdsutl poate fi folosit în două moduri: interactiv, când comenzile sale sunt date una câte una, și batch, când sunt introduse ca comandă compusă Către o soluție VBScript Datorită faptului că avem de-a face cu atribute de tip AVA, scriptul VBScript s-a dovedit a fi destul de complicat Prima operație - obținerea unui pointer către un obiect Active Directory - este simplă, dar în continuare trebuie să ne uităm una câte una prin valorile atributului mSDS-Other-Settlngs în căutarea celui pe care vrem să-l schimbăm Începe cu Dynami cObjectDefaultTTL= Deoarece nu cunoaștem valoarea completă a atributului pe care îl căutăm, în loc să folosim comparația obișnuită, trebuie să folosim obiectul RegExp, care ne permite să comparăm fiecare expresie care face parte din mSDS-Other-Settlngs atribut cu expresia DynamicObjectDefaultTTL- Găsirea corespunzătoare Mutați un obiect într-un alt OU sau container acțiune, eliminăm această valoare fără a le afecta pe celelalte și apoi folosim metoda PutEx pentru a adăuga o nouă setare Vezi si Rețeta vorbește despre modificarea valorilor atributelor unui obiect De asemenea, consultați documentul MSDN: Regular Expression (RegExp) Object Mutați un obiect într-un alt OU sau container Problemă Doriți să mutați un obiect într-un alt OU sau container Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edit din panoul din dreapta și selectați Conectare la din meniul contextual Indicați în ce context de denumire - container sau diviziune - se află obiectul; dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau subdiviziunea dorită, faceți clic dreapta pe obiect și selectați comanda Mutare din meniul contextual care se deschide Localizați noul container de obiecte, selectați-l și faceți clic pe butonul OK Folosind interfața liniei de comandă > dsmove " " -newparent ~ " Folosind un script VBScript ' Acest cod mută obiectul într-o altă locație din domeniu ' CONFIGURARE SCRIPT - strNewParentDN - "c#:// " strObjectDN - "LDAP://cn-jsmith " strObjectRDN - "cn-jsnrith" ' TERMINAREA CONFIGURĂRII set objCont - GetObject(strNewParentDN) objCont MoveHere strObjectDN strObjectRDN Capitolul Obiecte și operații asupra acestora Un comentariu Spre o soluție cu o interfață grafică de utilizator Dacă containerul părinte al obiectului pe care doriți să-l mutați conține multe alte obiecte, în loc să căutați obiectul, este mai ușor să vă conectați la el Pentru a face acest lucru, faceți clic dreapta pe elementul ADSI Edit și selectați comanda Connectto, apoi în zona Connection Point, setați comutatorul pe Select sau tastați Dlstlngulshed Name or naming context (Selectați sau introduceți un nume distinctiv sau context Naming) și introduceți un nume distinctiv pentru obiect La soluție folosind interfața de linie de comandă Utilitarul dsmove, spre deosebire de utilitarele dsadd și dsmod, funcționează cu obiecte de orice tip Primul parametru este numele distinctiv al obiectului mutat, iar al doilea este numele distinctiv al noului său container În plus, folosind comutatorul -s, puteți specifica serverul pe care se află obiectul Către o soluție VBScript Principiul de funcționare al metodei MoveHere nu este destul de evident, așa că o mică explicație nu va fi de prisos Primul pas este să apelați metoda GetObject pe noul container părinte După ce a primit o referință la obiectul care îl reprezintă, apelăm metoda MoveNege pentru aceasta, setând primul parametru la valoarea atributului ADsPath al obiectului mutat, iar al doilea parametru la numele distinctiv al acestui obiect Elementul cn-jsmith este specificat de două ori în parametrii metodei MoveHere, deoarece metoda specificată poate fi folosită nu numai pentru a muta, ci și pentru a redenumi obiecte (vezi Rețeta ) Vezi si MS Docs KB (H W TO: Mutați utilizatori, grupuri și unități organizaționale într-un domeniu în Windows ) și MSDN: IADsContainer::MoveHere Mutarea unui obiect într-un alt domeniu Problemă Doriți să mutați un obiect într-un alt domeniu Soluţie Folosind interfața liniei de comandă > movetgee /start Zs /d /ddn În exemplul de pe pagina următoare, obiectul cn=jsmith este din domeniul amer ral encorp fagure este mutat în domeniul emea ral encorp sută Redenumirea unui obiect > movetree /start /s dc-amerl /d dc-emealJ /ddn cn-j smlth cn-users dc-amer dc=ra encorp dc-comJ /sdn cn-jsmi th cn-users dc-emea dc-ral encorp dc-com Folosind un script VBScript set objObject " GetObject("LDAP://TargetDC/TargetParentDN") objObject MyHere "LDAP://SourceDC/SourceDN" vbNullString Următorul exemplu mută obiectul cn=jsmith din domeniul amer rallencorp com în domeniul emea rallencorp com: set objObject - GetObject(''LDAP://dc-amerl/cn-users dc-amer dc-ral encorp dc=com") objObject MyHere "LDAP://dc-emeal/cn-jsmith cn-users dc-emea dc-ral encorp dc=com" vbNul String Un comentariu Mutarea obiectelor între diferite domenii se face conform următoarelor reguli A Un utilizator care dorește să mute obiecte trebuie să aibă permisiuni pentru a le modifica în containerele părinte ale ambelor domenii R Trebuie să specificați în mod explicit controlerul de domeniu țintă (conexiunea fără server de obicei "nu funcționează") Acest lucru se datorează faptului că această operație folosește obiectul de control LDAP Cross Domain Mové A Operația de mutare trebuie efectuată pe masterul RID al ambelor domenii A Ambele domenii trebuie să ruleze în modul nativ Windows A Când un obiect utilizator este mutat într-un domeniu diferit, obiectul obiectSID este înlocuit cu noul identificator (generat de noul domeniu) și vechiul SID este adăugat la atributul sIDHistory A Dintre obiectele de grup, numai grupurile universale pot fi mutate Pentru a muta un grup global sau un grup local de domeniu, trebuie mai întâi să îl convertiți într-un grup universal Vezi si Rețeta vorbește despre obiectele de control LDAP Consultați MS KB (Cum să utilizați utilitarul MoveTree pentru a muta obiecte între domenii într-o singură pădure) și MSDN: IADsContainer::MoveHere Redenumirea unui obiect Problemă Trebuie să redenumiți obiectul fără a-i schimba locația Capitolul Obiecte și operații asupra acestora Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edit din panoul din dreapta și selectați Conectare la din meniul contextual care apare Indicați în ce context de denumire - container sau diviziune - se află obiectul; dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau departamentul în care se află articolul pe care îl căutați Apoi faceți clic dreapta pe acest obiect și selectați comanda Redenumire din meniul contextual care se deschide Introduceți un nou nume pentru obiect și faceți clic pe butonul OK Folosind interfața liniei de comandă > dsmove " " -newname " " Folosind un script VBScript ' Acest cod redenumește obiectul fără a-i schimba locația CONFIGURARE SCRIPT strCurrentParentDN - "OI of the current container>" strObjectOldName - "cr]- " strObjectNewName - "cn= " ' TERMINAREA CONFIGURĂRII set objCont - GetObject("LDAP://" & strCurrentParentDN) objCont MoveHere "LDAP://" & strObjectOldName & strCurrentParentDN, strObjectNewName~ Un comentariu Înainte de a începe redenumirea unui obiect, asigurați-vă că nicio aplicație nu conține referințe sub forma numelui său Pentru ca obiectele să poată fi redenumite liber, aplicațiile trebuie să le găsească nu după numele lor, ci după GUID-urile lor, care sunt identificatori globali care sunt stocați în atributul objectGUID al unui obiect și nu se modifică atunci când este redenumit Spre o soluție cu o interfață grafică de utilizator Dacă containerul părinte al obiectului pe care doriți să-l redenumiți conține multe alte obiecte, este mai ușor să vă conectați la el în loc să căutați obiectul Pentru a face acest lucru, faceți clic dreapta pe elementul ADSI Edit și selectați comanda Conectare la, apoi, în zona Punct de conexiune, setați comutatorul pe Selectare sau tastați Nume distinctiv sau context de denumire (Selectați sau introduceți un nume distinctiv sau context de denumire) și specificați numele distinctiv al obiectului Ștergerea unui obiect e/ La soluție folosind interfața de linie de comandă Pentru a redenumi un obiect, trebuie să specificați doi parametri: numele distinctiv inițial al obiectului și noul nume distinctiv al acestuia (-newname) În plus, folosind comutatorul -S, puteți specifica serverul pe care se află obiectul Către o soluție VBScript Principiul utilizării metodei MoveHere nu este destul de evident, așa că considerăm că este necesar să dăm o mică explicație În primul rând, pentru a obține o referință la containerul părinte al obiectului, trebuie să apelați metoda GetObject Metoda MoveHere a containerului este apoi apelată, primul său parametru setat la valoarea atributului ADsPath al obiectului mutat și al doilea parametru la noul nume distinctiv relativ al obiectului, inclusiv prefixul (cn=) Vezi si Document MSDN: IADsContainer::MoveHere Ștergerea unui obiect Problemă Doriți să eliminați un obiect din Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edit din panoul din dreapta și selectați Conectare la din meniul contextual care apare Indicați în ce context de denumire - container sau diviziune - se află obiectul; dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau subdiviziunea în care se află obiectul pe care îl căutați, faceți clic dreapta pe el și selectați comanda Delete din meniul contextual care se deschide Faceți clic pe butonul Da pentru a confirma că operația este necesară Folosind interfața liniei de comandă > dsrm " " Folosind un script VBScript strObjectDN - " " set objUser - GetObjectC'LOAP://" și strObjectDN) objUser DeleteObj ect( ) Capitolul Obiecte și operații asupra acestora Un comentariu Această rețetă vă va arăta cum să ștergeți un singur obiect Dacă doriți să îndepărtați un întreg container sau unitate cu toate obiectele sale, urmați rețeta Spre o soluție cu o interfață grafică de utilizator Dacă containerul părinte al obiectului pe care doriți să-l ștergeți conține multe alte obiecte, este logic să creați o conexiune la acesta fără a căuta obiectul Pentru a face acest lucru, faceți clic dreapta pe elementul ADSI Edit și executați comanda Connect to, după care, în zona Connection Point, activați comutatorul Select sau tastați Distm-guished Name or naming context (Selectați sau introduceți un nume distinctiv sau denumire) context) și specificați numele distinctiv al obiectului La soluție folosind interfața de linie de comandă Utilitarul dsrm poate funcționa cu obiecte de orice tip (spre deosebire de utilitarele dsadd și dsmod) Singurul său parametru obligatoriu este numele distinct al obiectului care urmează să fie șters În plus, puteți specifica comutatorul -noprompt - în acest caz, utilitarul nu va necesita confirmarea operațiunii și, de asemenea, folosind comutatorul -s, specificați serverul pe care se află obiectul Către o soluție VBScript Sintaxa metodei DeleteObject este foarte simplă Parametrul este necesar, deși valoarea acestuia este momentan nedefinită O modalitate alternativă și poate mai sigură de a șterge obiecte este utilizarea metodei lADsContainer: :Delete Dar dacă decideți să îl utilizați, trebuie mai întâi să stabiliți o relație cu containerul părinte al obiectului, apoi să apelați metoda Delete, trecându-i numele clasei și numele distinctiv relativ al obiectului de șters Iată un exemplu de ștergere a obiect utilizator: set objCont - GetObjectCLDAP //ou-Sales dc-rallencorp dc-com") objCont Delete "user" "cn-rallen' Această metodă este mai fiabilă, deoarece atunci când o utilizați, specificați exact ce urmează să fie șters Metoda DeleteObject primește doar numele distinctiv al obiectului, așa că chiar și o simplă greșeală de tipar la introducerea acestui nume poate duce la consecințe nedorite Vezi si Rețeta vă spune cum să ștergeți un container și toate obiectele acestuia De asemenea, consultați MS CV (Viewmg Deleted Objects in Active Directory), MSDN: lADsContainer::Delete și MSDN: IADsDeleteOps::De-leteObject Ștergerea unui container cu obiecte copil Ștergerea unui container cu obiecte copil Problemă Trebuie să ștergeți containerul sau OU și toate obiectele pe care le conține Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit și urmați pașii descriși în rețeta Singura diferență față de rețeta de mai sus este că programul vă solicită să confirmați necesitatea de a efectua operația de ștergere de două ori Folosind interfața liniei de comandă > dsrm " " -subtree Folosind un script VBScript Codul din Rețeta - poate șterge, de asemenea, un container și toate obiectele acestuia Un comentariu După cum puteți vedea, ștergerea unui nod frunză al unui arbore de directoare, adică a unui singur obiect, se realizează în același mod ca ștergerea unui întreg container cu obiecte incluse în el Cu toate acestea, acțiunile de fundal care sunt efectuate pentru aceste operațiuni sunt diferite Ștergerea unui obiect care nu are copii se face printr-o operație LDAP dedicată, în timp ce ștergerea unui container cu obiecte copil se face printr-un obiect de management LDAP dedicat ștergerii unui arbore Dacă această operațiune este efectuată folosind un instrument precum LDP, trebuie mai întâi să specificați că va implica obiectul de control Subtree Delete, al cărui ID este Pe partea clientului, LDP acceptă și o altă caracteristică numită ștergere recursivă: toate obiectele conținute în container sunt șterse pe rând Metoda de ștergere a unui container folosind controlul Subtree Delete este mai eficientă, mai ales când vine vorba de containere mari Vezi si Rețeta vorbește despre ștergerea obiectelor De asemenea, puteți consulta documentul MSDN IADsDeleteOps: DeleteObject pe acest subiect Capitolul Obiecte și operații asupra acestora Vedeți timpul de creare și ultima modificare a obiectului Problemă Vrei să știi când a fost creat sau modificat ultima dată obiectul Soluţie Utilizarea interfeței grafice cu utilizatorul Urmați pașii din rețeta Apoi, folosind comanda Opțiuni ► Căutare, asigurați-vă că atributele createTimestamp și modifyTimestamp sunt incluse în lista de returnare Folosind interfața liniei de comandă > dsquery * "OI object>" -attr name createTimestamp modifyTimestamp Folosind un script VBScript ' Acest cod tipărește ora de creare și ultima modificare a obiectului dat ' CONFIGURARE SCRIPT strObjectDN - " ntdsutil "Idap pol" conn "cori la server '' q "afișează valorile" Iată cum este setat parametrul MaxPageSlze la : > ntdsutil "Idap pol" conn "con to server '' q Politica Idap: setați MaxPageSlze la Politica Idap: Commit Changes Folosind un script VBScript Codul modifică politica de interogare implicită pentru pădurea de instalare ' - CONFIGURARE SCRIPT pol attr - "MaxPageSize" ' Setați numele setării pe care doriți să o modificați new value - ' Setați noua valoare pentru această setare ' Sfârșitul configurației - Const ADS PROPERTY APPEND - Const ADS PROPERTY OELETE = Capitolul Obiecte și operații asupra acestora setați rootOSE - GetObjectC"LDAP://RootDSE") setați IdapPol - GetObjectCLDAP://cn-Default Query Policy cn-Query-Policies " & "cn-Dîrectory Service cn-Windows NT cn-Services" & rootDSE GetCconfigurationNamingContext") set regex - noua expresie regex regex IgnoreCase - adevărat regex Pattern - pol attr & pentru fiecare prop în IdapPol GetExCldapAdannLimits") dacă regex Test(prop) atunci if prop - pol attr && new value atunci Wscript Echo pol attr & " aTready egal cu " & new value el se IdapPol PutEx ADS PROPERTY APPEND "IDAPAdminLimits" Matrice (pol attr & & new value ) IdapPol Setinfo IdapPol PutEx ADS PROPERTY DELETE IDAPAdminLimits Matrice (recuperare) IdapPol SetInfo WScript Echo "Set" & pol attr & " la " & newvalue sfârşitul dacă Ieșire pentru sfârşitul dacă Următorul Un comentariu O politică de interogare LDAP este un set de setări care determină modul în care se comportă un controler de domeniu atunci când efectuează o căutare În mod implicit, este definită o singură politică pentru toți controlorii de domeniu din pădure, dar puteți crea politici suplimentare și le puteți aplica controlorilor de domeniu sau site-urilor individuale (în acest caz, toți controlorii de domeniu ai site-ului pe care îl specificați vor adera la politica specificată ) Politicile de interogare sunt stocate în secțiunea de configurare ca obiecte Poli de interogare Numele implicit al politicii este cn-Default Query Policy cn-Query-Policies cn-Directory Service cn-Windows NT cn-Services Atributul IDAPAdminLimits al obiectului queryPolicy este compus și conține valorile parametrilor de control ca perechi nume-valoare Lista acestor parametri este prezentată în tabel Tabelul Setările politicii de interogare LDAP Nume Descriere implicită MaxPoolThreads Numărul maxim de fire de execuție (pe proces) create de controlerul de domeniu pentru a executa o solicitare MaxDatagramRecv Numărul maxim de datagrame procesate de controlerul de domeniu în același timp MaxReceiveBuffer Dimensiunea maximă a cererii LDAP în octeți pe care serverul o poate procesa Dacă serverul primește o solicitare mai mare, va închide conexiunea Modificarea politicii implicite de solicitare Shan HOL Nume Descriere implicită InitRecvUmeout Timeout înainte de a obține rezultatele interogării în secunde MaxConnections Numărul maxim de conexiuni deschise MaxConnldleTime Timp maxim de inactivitate a conexiunii în secunde MaxActiveQuerles Număr maxim de interogări active simultan MaxPageSize Dimensiunea maximă a paginii de răspuns LDAP MaxQueryDuratlon Timp maxim în secunde pentru un controler de domeniu pentru a executa o interogare MaxTempTableSIze Cantitatea maximă de memorie pentru stocarea temporară a datelor alocată într-o singură solicitare MaxResultSetSIze Dimensiunea maximă a setului de date LDAP rezultat MaxNotlf cat onPerConn Numărul maxim de notificări pe care un client le poate solicita pentru această conexiune Deoarece toate aceste setări sunt stocate ca perechi nume-valoare într-un singur atribut, adică în format AVA, un script VBScript trebuie să caute prin toate aceste perechi folosind o expresie regulată pentru a găsi setarea pe care o caută Căutarea este efectuată de șirul ~, care se potrivește cu începutul șirului căutat Consultați Rețeta pentru detalii despre formatul AVA Modificarea politicii implicite de interogare ar trebui să fie însoțită de testare riguroasă Rețineți că modificarea unor setări poate duce la un comportament neașteptat al aplicației sau controlerului de domeniu De asemenea, puteți crea o nouă politică Pentru a face acest lucru, în containerul Query Pol des (Politici de interogare), unde este stocat obiectul de politică implicit, creați un nou obiect queryPolicy și setați-i atributul IDAPAdminLimits Apoi modificați atributul queryPolicyObject pe obiectul nTDSDSA al controlerului de domeniu căruia doriți să aplicați noua politică Puteți face acest lucru folosind snap-in Site-uri și servicii Active Directory Localizați obiectul nTDSDSA (cn=NTDS Settings), faceți clic dreapta pe el și selectați Properties din meniul contextual Specificați noua politică în lista derulantă Royce Query (Politica de interogare) și faceți clic pe OK Vezi si Document MS KB (CUM PENTRU: Vizualizați și setați politicile de protocol ușor de acces la director folosind Ntdsutil exe în Windows ) !• Capitolul Obiecte și operații asupra acestora Exportarea obiectelor într-un fișier LDIF Problemă Doriți să exportați obiectele într-un fișier LDIF (LDAP Data Interchange Format) Soluţie Utilizarea interfeței grafice cu utilizatorul Niciunul dintre instrumentele standard dezvoltate de Microsoft nu vă permite să exportați într-un fișier LDIF atunci când utilizați interfața grafică cu utilizatorul Folosind interfața liniei de comandă > Idifde -f output ldf - -p -r '^filtru^ -d " " Folosind un script VBScript Nu există interfețe bazate pe COM sau VBScript pentru exportul în format LDIF Când lucrați cu un script Perl, puteți utiliza modulul Net::LDAP:LDIF, care oferă suport pentru citirea și scrierea fișierelor LDIF Un comentariu Specificația LDIF (RFC ) definește un format de fișier puternic structurat pentru stocarea intrărilor de director Fișierele create în acesta pot fi citite atât de mașină, cât și de om Acest format este standardul de facto care definește modul în care un număr mare de obiecte directoare pot fi importate și exportate Este acceptat de aproape toți furnizorii de catalog, inclusiv Microsoft La soluție folosind interfața de linie de comandă Comutatoarele -f și -S sunt folosite pentru a specifica numele fișierului și respectiv numele controlerului de domeniu, comutatorul - este urmat de o listă de atribute separate prin virgulă, -p specifică domeniul de căutare, -r vă permite pentru a seta un filtru pentru căutare, iar după comutatorul -d, este specificată baza de căutare Dacă întâmpinați probleme folosind utilitarul Idifde, utilizați comutatorul -v pentru a activa modul de ajutor extins pentru a ajuta la identificarea sursei problemei Vezi si Rețeta arată cum să importați obiecte dintr-un fișier LDIF Consultați RFC (Format de schimb de date LDAP (LDIF) - Specificații tehnice) și MS KB (Utilizarea LDIFDE pentru a importa și exporta obiecte director în Active Directory) Importarea obiectelor dintr-un fișier LDIF Importarea obiectelor dintr-un fișier LDIF Problemă Trebuie să importați obiecte în Active Directory dintr-un fișier LDIF Acest fișier poate conține obiecte de adăugat, modificări ale obiectelor existente și comenzi pentru ștergerea obiectelor Soluţie Folosind interfața liniei de comandă Utilitarul Idifde vă permite să importați modificări în Active Directory dintr-un fișier LDIF, care stochează date despre obiectele adăugate, modificate și șterse Iată un exemplu de fișier LDIF care conține o comandă pentru a adăuga un obiect utilizator, două comenzi pentru a-l modifica și o comandă pentru a-l elimina: dn: cn-jsmith cn=users,dc-ral encorp,dc-com tipul de schimbare: adăugare objectClass: utilizator samaccountname jsmith sn: JSnrith useraccountcontrol: dn-cn-jsmith cnnisers dc-ral encorp,dc-com tip de modificare: modificare adăugați: givenName prenumele Jim înlocuiți: sn sn: Smith dn: cn-jsmith cn-users,dc=ra encorp dc-com şterge tipul de schimbare Puteți crea un astfel de fișier manual sau în alt mod și apoi utilizați comanda Idifde pentru a aplica modificările specificate în el la Active Directory: > Idifde -i -f Idf Un comentariu Pentru mai multe informații despre formatul LDIF, consultați RFC La soluție folosind interfața de linie de comandă Pentru a importa un fișier folosind utilitarul Idifde, trebuie să specificați comutatorul - , care indică modul de import și opțiunea -f De asemenea, comutatorul -v poate fi util, care vă permite să efectuați funcționarea în modul de ajutor extins și primiți mesaje de eroare Capitolul Obiecte și operații asupra acestora Vezi si Rețeta vorbește despre importarea fișierelor LDIF Citiți RFC (Format de schimb de date LDAP (LDIF) - Specificații tehnice) și MS KB (Utilizarea LDIFDE pentru a importa și exporta obiecte director în Active Directory) Exportarea obiectelor într-un fișier CSV Problemă Trebuie să exportați obiectele într-un fișier în format CSV (Comma-Separated Values) care este recunoscut de procesoarele de text și de foi de calcul Soluţie Folosind interfața liniei de comandă > csvde -f output csv - -p -d " " -d " " Un comentariu Fișierul în format CSV poate fi vizualizat, sortat, editat folosind un procesor de foi de calcul precum Excel La soluție folosind interfața de linie de comandă Utilitarul cvsde are aproape aceleași opțiuni ca și utilitarul Idifde Comutatoarele -f și -s sunt folosite pentru a specifica numele fișierului și numele controlerului de domeniu, comutatorul - este urmat de o listă de atribute separate prin virgulă, -p specifică domeniul de căutare (bază, un nivel sau subarboresc) ), -r vă permite să specificați un filtru pentru căutare, iar după comutare -d specifică baza de căutare Dacă întâmpinați probleme, utilizați comutatorul -v pentru a activa modul de ajutor extins, care vă va ajuta să identificați sursa problemei Vezi si Rețeta vorbește despre importarea obiectelor dintr-un fișier CSV Importarea obiectelor dintr-un fișier CSV Problemă Active Directory vă solicită să importați obiecte dintr-un fișier csv Importarea obiectelor dintr-un fișier CSV Soluţie Folosind interfața liniei de comandă Pentru a importa date folosind utilitarul csvde, trebuie mai întâi să creați un fișier CSV care să conțină descrieri ale obiectelor de adăugat Prima linie a acestui fișier ar trebui să conțină o listă de atribute separate prin virgulă de setat (lista începe întotdeauna cu atributul DN) DN objectClass cn sn userAccountControl sAMAccountName userPrincipal Name Restul rândurilor conțin datele adăugate Dacă unul dintre atribute nu trebuie setat, înlocuiți-l cu un spațiu și, ca de obicei, cu o virgulă Următorul este un exemplu de conținut al unui fișier CSV din care vor fi importate două obiecte utilizator: DN objectClass sn userAccountControl sAMAccountName userPri nci pa Name "cn-jim cn-users,dc-ral encorp dc=com" user Smlth, jim jim@rallencorp com "cn-john cn -users dc-ra encorp dc=com" user john,john@ra encorp corn După crearea unui astfel de fișier, importați conținutul acestuia rulând comanda cvsde: > csvde - -f c$v Un comentariu Rețineți că fiecare rând al fișierului CSV, cu excepția antetului, trebuie să conțină valorile atributelor următorului obiect adăugat Această metodă de import este folosită numai pentru adăugarea de obiecte; nu este posibilă modificarea sau ștergerea acestora în acest mod Dacă aveți o foaie de calcul care conține obiecte pe care doriți să le importați în Active Directory, salvați-o ca fișier csv și utilizați utilitarul csvde pentru ao importa La soluție folosind interfața de linie de comandă Pentru a importa un fișier folosind utilitarul csvde, trebuie să specificați comutatorul - , care indică modul de import și parametrul -f De asemenea, poate fi necesar să utilizați comutatorul -v, care vă permite să efectuați operațiuni în modul de ajutor extins și să primiți mesaje de eroare Vezi si Rețeta explică cum să exportați obiecte în format CSV De asemenea, consultați MS KB (H W TO: Utilizați Csvde pentru a importa contacte și obiecte utilizator în Active Directory) Subdiviziuni Introducere Serviciile de director bazate pe protocolul LDAP, inclusiv Active Directory, stochează date în containere organizate într-o structură ierarhică numită Director Information Tree (DIT) Fiecare container poate conține alți containere și noduri frunză, care sunt punctele finale ale ierarhiei Cele mai comune două tipuri de containere din Active Directory sunt Unitatea Organizațională (OU) și obiectul container obișnuit Acesta din urmă diferă de alte obiecte doar prin faptul că poate stoca și obiecte Nu are proprietăți speciale, spre deosebire de diviziunea, care, în special, se caracterizează prin faptul că poate fi asociată cu politica de grup Ca regulă generală, atunci când proiectați o ierarhie de obiecte Active Directory, în special cele care reprezintă utilizatori și computere, ar trebui să creați unități organizaționale mai degrabă decât containere obișnuite Containerele obișnuite nu au astfel de capacități, pe care diviziile nu le au Unitatea de anatomie OU-urile pot fi create oriunde într-un context de denumire a domeniului Cu toate acestea, în mod implicit, departamentele nu pot fi incluse ca copii ai obiectelor container Cum să ocoliți această limitare este descris în Rețeta Unitățile organizaționale sunt reprezentate în Active Directory prin obiecte organizationalUnit, ale căror atribute cele mai importante sunt enumerate în Tabelul Tabelul Atributele obiectului organizationaiUnlt Descrierea atributului decrîption O descriere textuală a OU gPLink O listă de obiecte de politică de grup (GPO) asociate cu această unitate organizatorică Vezi și rețeta gpOptions Conține valoarea dacă moștenirea GPO este dezactivată și în caz contrar msDS-Approx-Inrned-Subordi nates Numărul aproximativ de obiecte copil din OU Vezi și rețeta Creați o diviziune Descrierea atributului managedBy Numele distinctiv al utilizatorului sau grupului responsabil cu gestionarea OU OU Numele distinctiv relativ al unității organizaționale modlfyTimestamp Ora la care a fost modificată ultima diviziune createTimestamp Timpul de creare a departamentului Creați o diviziune Problemă Doriți să creați o nouă unitate organizațională în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain din meniul de comenzi rapide, introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, extindeți containerul părinte care va conține noua unitate, faceți clic dreapta pe acesta și apoi selectați Nou > Unitate organizațională din meniul contextual care se deschide Introduceți un nume pentru noul departament și faceți clic pe butonul OK Pentru a introduce o descriere a departamentului, faceți clic dreapta pe numele departamentului pe care tocmai l-ați creat în panoul din stânga și selectați Proprietăți din meniul contextual care se deschide Când ați terminat de introdus, faceți clic pe butonul OK Folosind interfața liniei de comandă > dsadd ou ' ' -dese " ' Folosind un script VBScript Acest cod creează o diviziune - CONFIGURARE SCRIPT- strOrgUnit - " ' ' De exemplu ou-Engineering,dc-rallencorp dc-com strOrgUnitDescr - " " ' De exemplu: Utilizatori de instrumente • termina CONFIGURARE - set objDomain - GetObjectCLDAP://" și strOrgUnitParent) Capitolul Subdiviziuni set objOU - objOomain Create('organ zatlonalUnit" "OU"" & strOrgUnit) objOU Put "description" strOrgUnitDescr objOU SetInfo WScript Echo "S-a creat n & objOU Name Un comentariu Unitățile organizaționale sunt concepute pentru a structura datele în Active Directory Ele sunt de obicei create în următoarele scopuri Despre gruparea obiectelor Datele înrudite sunt foarte adesea grupate în diviziuni De exemplu, obiectele utilizator sunt de obicei stocate într-o unitate organizatorică, iar obiectele computer în alta (aceasta este configurația implicită Active Directory) О Delegarea funcţiilor de conducere Poate cel mai adesea, OU-urile Active Directory sunt create cu scopul de a delega autoritatea administrativă Active Directory vă permite să acordați unui utilizator sau unui grup de utilizatori drepturile de a efectua anumite operațiuni asupra obiectelor unei anumite unități organizaționale Despre aplicarea politicii de grup O OU este cea mai mică unitate la care se poate aplica o politică de grup Dacă organizația dvs are angajați care sunt împărțiți în mai multe categorii cu permisiuni diferite, este cel mai ușor să creați o unitate organizatorică separată pentru fiecare categorie, să definiți GPO-ul corespunzător și să conectați unitatea organizațională la organizație О Controlul eficient al vizibilității obiectelor Subdiviziunile pot fi folosite ca mecanism pentru a limita accesul utilizatorului la diferite părți ale unui director Este recomandabil să completați atributul de descriere pentru fiecare subdiviziune, astfel încât la vizualizarea catalogului, scopul acestuia să fie imediat vizibil De asemenea, asigurați-vă că setați atributul managedBy la grupul sau utilizatorul care este considerat proprietarul OU Vezi si Document MS KB (CUM SE: Cum se creează unități organizaționale într-un domeniu Windows ) Vizualizarea unei liste de containere pentru un anumit domeniu Problemă Este necesar să afișați o listă cu toate containerele și subdiviziunile domeniului, adică să vizualizați structura acestuia Vizualizarea unei liste de containere pentru un anumit domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK Structura domeniului va fi afișată în stânga Folosind interfața liniei de comandă Următoarea comandă listează toate unitățile organizaționale ale domeniului în care este înregistrat utilizatorul care execută comanda - > dsquery sau domalnroot Folosind un script VBScript ' Acest cod scoate în mod recursiv toate obiectele container și organizator op Unit ' pentru baza dată Valoarea celui de-al doilea parametru indică faptul că ' primul nivel de obiecte ar trebui să fie afișat fără indentare DisplayObjects "\£#- // " Valorile atributelor sunt transmise funcției DisplayObjects * ADsPath a obiectului ale cărui obiecte copil doriți să le vizualizați, ' și numărul de spații de indentare înainte de prima valoare Funcția OisplayObjects( strADsPath strSpace) set objObject - GetObject(strADsPath) Wscript Echo strSpace și strADsPath objObject Filter - Array ("container', ',organizationalUnit") pentru fiecare objChildObject n objObject DisplayObjects objChlldObject AOsPath, strSpace și " " Următorul funcția finală Un comentariu Spre o soluție cu o interfață grafică de utilizator Dacă doriți să extindeți toate containerele copil și OU ale OU selectate, va trebui să o faceți manual, deoarece nu există nicio comandă care să efectueze o astfel de operație La soluție folosind interfața de linie de comandă Pentru a vizualiza o listă a tuturor OU-urilor și a containerelor din domeniul în care este conectat utilizatorul curent, puteți utiliza comanda mai generică dsquery: > dsquery * domalnroot -filter j (|(objectcategory-contairer)(objectcategoryorganizationalunit))" -J -subtree scope -limită Capitolul Subdiviziuni Către o soluție VBScript În timpul iterării prin domeniul în for fiecare buclă, ieșirea este paginată, astfel încât obținem toate obiectele, nu doar primele Pentru a afișa toate obiectele, indiferent de adâncimea de imbricare, utilizați funcția recursivă OisplayObjects Vizualizarea unei liste de obiecte dintr-un anumit departament Problemă Doriți să vizualizați o listă de obiecte aparținând unui anumit departament Soluţie Cele trei soluții de mai jos sunt concepute pentru a afișa o listă de obiecte situate într-o anumită unitate organizațională la nivelul superior de imbricare Cum să vizualizați toate obiectele, indiferent de nivelul lor de imbricare, este descris în secțiunea de comentarii Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe intrarea Active Directory Users and Computers din panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, deschideți departamentul pe care doriți să îl vizualizați Faceți clic pe el și conținutul său va fi afișat în panoul din dreapta Folosind interfața liniei de comandă > dsquery * ' '' -limit -scope onelevel Folosind un script VBScript set objOU - eb bzec(" AP:// ") pentru fiecare objChildObject din objOU Wscript Echo objChildObject Name Următorul Un comentariu Spre o soluție cu o interfață grafică de utilizator În mod implicit, snap-inul Active Directory Users and Computers afișează doar de obiecte Pentru a putea vizualiza mai multe dintre ele, alegeți Vizualizare ► Filtru Eliminarea obiectelor dintr-o subdiviziune Opțiuni (Vizualizare ► Opțiuni de filtrare) și în câmpul Număr maxim de articole afișate pe folder (Max, numărul de articole afișate în folder) specificați câte articole trebuie afișate pe ecran La soluție folosind interfața de linie de comandă Opțiunea -limit specifică că dsquery ar trebui să scoată toate obiectele din OU Dacă acest parametru nu este setat, va scoate de obiecte Cu toate acestea, dacă doriți să vizualizați un anumit număr de articole, specificați acel număr după comutatorul -Urnit Comutatorul -scope onelevel specifică că ar trebui să fie afișate numai obiectele copil de primul nivel, nu obiectele lor imbricate Dar dacă adăugați comutatorul -scope subtree la comandă, veți putea afișa toate obiectele indiferent de adâncimea lor de imbricare Către o soluție VBScript Când iterați prin departamentul pentru fiecare buclă, rezultatul este paginat, ceea ce vă permite să specificați toate obiectele, nu doar primele Pentru a afișa toate obiectele, indiferent de adâncimea imbricației, puteți utiliza următoarea funcție recursivă: ' Valoarea celui de-al doilea parametru indică faptul că ' primul nivel de obiecte ar trebui să fie afișat fără indentare DisplayObjects "LDAP // " "" ' Funcția DisplayObjects ia o valoare de atribut ' ADsPath-ul obiectului ale cărui obiecte secundare doriți să le vizualizați ' și numărul de spații de indentare înainte de prima valoare Functlon D splayObjects( strADsPath strSpace) set objObject - GetObject(strADsPath) Wscript Echo strSpace și strADsPath pentru fiecare objChildObject n objObject DisplayObjects objChildObject ADsPath strSpace și " " în continuare Încheierea funcției Acest cod este aproape identic cu cel din Rețeta Singura sa diferență este absența unui apel la metoda Filter, care limitează tipurile de obiecte de ieșire Eliminarea obiectelor dintr-o subdiviziune Problemă Este necesar să eliminați toate obiectele din OU fără a șterge OU în sine Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă trebuie să schimbați domeniul, faceți clic dreapta pe intrarea Active Directory Users and Computers (Utilizatori Active Directory și Capitolul Subdiviziuni și computere) în panoul din stânga, selectați Connectto Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, deschideți unitatea organizatorică care conține obiectele pe care doriți să le ștergeți În panoul din dreapta, selectați toate obiectele și faceți clic pe butonul Ștergere din bara de instrumente Apăsați tasta F și conținutul departamentului va fi actualizat Dacă obiectele nu au dispărut, repetați pasul anterior Folosind interfața liniei de comandă Pentru a elimina toate obiectele dintr-o subdiviziune fără a șterge subdiviziunea în sine, utilizați comanda dsrm cu opțiunile -subtree și -exclude: > dsrm " " -subtree -exclude Folosind un script VBScript Acest cod elimină obiectele din OU păstrând în același timp OU în sine Wscript Echo "Ștergerea" și objChildObject Mame objChi dOb j ect DeleteObj ect( ) Următorul Un comentariu Dacă doriți să ștergeți toate obiectele dintr-o OU păstrându-l în sine, puteți face acest lucru în două moduri: fie ștergeți OU, care va șterge toate obiectele sale, apoi o re-creați, fie ștergeți numai obiectele Această ultimă abordare are avantajul de a elimina necesitatea reconfigurarii listei de control al accesului (ACL) a unei OU și de a o asocia cu un GPO Vezi si Rețeta - arată cum să listați obiectele unei OU date, iar Rețeta - arată cum să ștergeți o OU De asemenea, consultați documentul MSDN: IADsDeleteOps::DeleteObject Ștergerea unei diviziuni Problemă Doriți să ștergeți unitatea organizatorică și toate obiectele incluse în ea Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe intrarea Active Directory Users and Computers Mutarea obiectelor între departamente tera) situat în panoul din stânga, selectați comanda Connect to Domain, introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, deschideți departamentul pe care doriți să îl ștergeți, faceți clic dreapta pe el și selectați Ștergere din meniul contextual care apare În caseta de dialog care se deschide, confirmați necesitatea efectuării operației de ștergere Dacă departamentul conține obiecte copil, sistemul vă va cere din nou să confirmați acțiunea specificată Faceți clic pe butonul Da Folosind interfața liniei de comandă Puteți folosi comanda dsrm cu comutatorul -subtree pentru a elimina o subdiviziune cu toate obiectele sale Fără această cheie, comanda nu va eșua ștergerea dacă OU conține cel puțin un obiect > dsrm " '') objOU DeleteObject( ) Un comentariu Ștergerea unei subdiviziuni care nu conține obiecte se face în același mod ca ștergerea oricărui alt obiect Cu toate acestea, dacă o unitate organizatorică conține obiecte, ștergerea acesteia este tratată diferit Aplicația (sau scriptul) care efectuează această operațiune trebuie să utilizeze controlul LDAP Tree Delete (OID: ) pentru a indica lui Active Directory că tot conținutul OU trebuie șters Acest obiect este folosit în toate cele trei soluții de mai sus, deși utilizatorul nu îl vede Dacă trebuie să efectuați această operațiune folosind un utilitar LDAP, cum ar fi LDP, va trebui să setați în mod explicit acest obiect de gestionare Vezi si Rețeta (Capitolul ) vorbește despre utilizarea obiectelor de control LDAP Aruncă o privire și la documentul MSDN IADsDeleteOps::DeleteObject Mutarea obiectelor între departamente Problemă Trebuie să mutați unele sau toate obiectele dintr-o unitate de domeniu în alta (poate ca parte a unei restructurari de domeniu) Capitolul Subdiviziuni Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, deschideți containerul dorit și selectați unitatea organizatorică care conține obiectele pe care doriți să le mutați Selectați obiectele de mutat în panoul din dreapta, faceți clic dreapta pe ele și selectați comanda Mutare din meniul contextual deschis În caseta de dialog care se deschide, găsiți containerul părinte în care doriți să mutați obiectele, selectați-l și faceți clic pe butonul OK Apăsați tasta F și conținutul departamentului va fi actualizat Dacă obiectele nu au dispărut, repetați cei doi pași anteriori NOTĂ - - În versiunea Windows Server a snap-in-ului Active Directory Users and Computere (Utilizatori și computere Active Directory), puteți muta obiecte trăgându-le Folosind interfața liniei de comandă > pentru /F "usebackq delims-""" xi lin ('dsquery * " " d -scope onelevel') do dsmove -newparent " " Folosind un script VBScript Acest cod va muta obiectele din divizia "veche" în divizia "nouă" ' CONFIGURARE SCRIPT - strOldOrgllnlt - " " ' De exemplu: ou-Eng Tcols dc-rallencorp,dc-com strNevXJrgUnlt - " dsmove " " -newparent " " Folosind un script VBScript set objOU - Get bject('"L AP:// '") objOU MoveHere "LDAP:/ ", ,' " Capitolul Subdiviziuni Un comentariu Unul dintre avantajele Active Directory este comoditatea structurării datelor Mutarea unei unități organizaționale, chiar dacă aceasta conține o ierarhie complexă a altor unități organizaționale și obiecte, nu afectează în niciun fel obiectele copil Dacă locația anumitor obiecte este importantă pentru orice aplicație, după mutarea acestora, trebuie să înlocuiți legăturile corespunzătoare din această aplicație Desigur, este de dorit ca aplicațiile să nu folosească nume distinctive pentru obiecte, ci să se refere la obiecte exclusiv prin intermediul unui GUID Nu ar trebui să uităm de impactul asupra noului OU părinte al ACL-urilor moștenite și al politicii de grup Vezi si Consultați MS KB (CUM PENTRU: Mutați utilizatori, grupuri și unități organizaționale într-un domeniu în Windows ) și MSDN: TADsContai-nerr MoveHere Determinarea numărului de obiecte copil dintr-o unitate organizatorică Problemă Vrei să stabilești dacă departamentul are copii și câți Soluția Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați comanda Răsfoire ► Căutare (Căutare ► Găsiți) În câmpul BaseDN, introduceți În câmpul Filtru, introduceți (objectclass=*) Setați comutatorul din zona Scop în poziția de bază Faceți clic pe butonul Opțiuni și în câmpul Atribute introduceți msDS-Approx-Inrned-Subordinates Faceți clic pe butonul OK, apoi pe butonul Run și toate rezultatele căutării vor fi afișate în panoul din dreapta Folosind interfața liniei de comandă > dsquery * "Subordonate Subordonate^' -scope base -attr msDS-Approx-Immed-Subordinates Această rețetă necesită ca nivelul funcțional al domeniului să fie Windows Server Delegarea funcţiilor managementului departamentului Folosind un script VBScript ' Acest cod tipărește numărul aproximativ de copii din setul OU objOU - GetObjectCLDAP:// ") objOU GetlnfoEx ArrayCmsDS-Approx-Irrmed-Subordinates") WScript Echo "Număr de obiecte copil: " & objOU Get("ros DS-Approx- nrned-Subordinates") Un comentariu Atributul msDS-Approx-Immed-Subordinates este nou în Windows Server Acesta stochează informații despre numărul aproximativ de obiecte copil de la primul nivel conținute într-un anumit container sau OU Rețineți că acesta nu este un număr exact, atunci când utilizați containere mari, acesta poate diferi de cel real cu % Cu acest atribut, aplicațiile pot determina rapid dimensiunea aproximativă a containerului și pot alege afișajul potrivit pentru acesta Rețineți că atributul msDS-Approx-Immed-Subordinates este un atribut calculat, ceea ce înseamnă că valoarea sa nu este stocată în Active Directory ca și alte valori de atribut Sistemul îl calculează ca răspuns la o solicitare a aplicației Soluția bazată pe VBScript apelează metoda GetInfoEx deoarece unele atribute calculate, inclusiv aceasta, nu pot fi preluate folosind metodele GetInfo sau Get Dacă doriți să efectuați această sarcină în Windows Server Active Directory, trebuie să interogați obiectele de nivel superior care fac parte din unitatea organizațională și să le numărați Desigur, această metodă nu este la fel de eficientă ca accesarea atributului msDS-Approx-Immed-Subordinates în Windows Server Vezi si Vă recomandăm să citiți documentul MSDN: GetInfoEx Delegarea funcţiilor managementului departamentului Problemă Este necesară delegarea permisiunilor de administrare a unității unui anumit grup de utilizatori, căruia i se va atribui funcția de gestionare a obiectelor incluse în ea Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă trebuie să schimbați domeniul, faceți clic pe intrarea Active Directory Users and Computers din panoul din stânga, Capitolul Subdiviziuni selectați Conectare la domeniu, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, deschideți unitatea organizațională dorită, faceți clic dreapta pe ea și selectați comanda Delegate Control din meniul contextual Folosind butonul Adăugare, creați o listă de utilizatori și grupuri cărora doriți să le delegați funcții administrative, apoi faceți clic pe butonul Următorul Selectați tipul de permisiuni care vor fi acordate utilizatorilor și grupurilor pe care le-ați specificat și faceți clic pe butonul Următorul Faceți clic pe butonul Finlsh Folosind interfața liniei de comandă Configurarea ACL se poate face din linia de comandă folosind utilitarul dsacls, care face parte din pachetul Instrumente de asistență Pentru mai multe informații despre acest subiect, vezi rețeta (capitolul ) Un comentariu În timp ce Active Directory vă permite să delegați administrarea OU unui anumit utilizator, cel mai bine este să le delegați unui grup Chiar dacă un utilizator va îndeplini aceste funcții, creați un grup separat pentru el și specificați-l în ACL-ul departamentului În acest caz, în viitor, dacă trebuie să înlocuiți acest utilizator cu altul, va fi suficient să îl excludeți din grup și să adăugați un nou utilizator la acesta - ACL-ul departamentului nu va trebui schimbat Vezi si Veți afla despre modificarea ACL-ului unui obiect în Rețeta (Capitolul ) Acordați permisiunea de a crea unități organizaționale în containere Problemă Trebuie să creați o unitate organizatorică în container În mod implicit, restricțiile de schemă Active Directory împiedică acest lucru Soluţie Utilizarea interfeței grafice cu utilizatorul • Deschideți snap-in Schema Active Directory ca utilizator care este membru al grupului Administratori Schema Utilizarea acestui echipament este descrisă în detaliu în rețeta (capitolul ) Conectarea unui GPO la un container Deschideți containerul Qasses (Class), faceți clic dreapta pe clasa organizaționalUnit și selectați Proprietăți din meniul contextual Faceți clic pe fila Relatlonship și lângă câmpul Possible Superior, faceți clic pe butonul Add Superior în Windows Server sau pe butonul Add în Windows Selectați un container și faceți clic pe butonul OK Faceți clic din nou pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit oujn container ldf cu următorul conținut dn cn=organizational-unit cn-schema cn=configuration changetype: modify add: possSuperiors possSuperiors: container apoi executați comanda pentru a importa modificările: > Idifde -i -f ou in conta ner ldf Folosind un script VBScript ' Codul modifică schema astfel încât containerele * a fost posibil să se creeze diviziuni Const ADS PROPERTY APPEND - set objRootDSE - GetObjectCLDAP://RootDSE") set objOUClass = GetObject ("LDAP://cn=organizaticnal-unit " & objRootDSE Get("schemaNamingContext") ) objOUClass PutEx ADS PROPERTY APPEND "possSuperiors" Array("container") objOUClass SetInfo Un comentariu Pentru a permite crearea de unități în containere, trebuie să facem o mică modificare a schemei: faceți containerul una dintre clasele superioare clasei organizationalUnit (prin adăugarea acesteia la atributul possSuperiors) Vezi si Rețeta (Capitolul ) descrie cum să utilizați programul de completare Schema Active Directory De asemenea, puteți consulta MS KB (Configurarea diferitelor containere pentru a stoca unități organizaționale) Conectarea unui GPO la un container Problemă Doriți să aplicați setările unui obiect de politică de grup (GPO) utilizatorilor și computerelor care fac parte dintr-o anumită OU prin asocierea acestui obiect cu OU Capitolul Subdiviziuni Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți Consola de gestionare a politicilor de grup (GPMC) În panoul din stânga, deschideți containerul pentru pădurea care vă interesează Extindeți domeniul în panoul din stânga și localizați unitatea organizațională la care doriți să conectați GPO-ul Faceți clic dreapta pe unitatea organizațională și în meniul contextual care se deschide, selectați comanda Create and Link a GPO already exists Folosind un script VBScript ' Acest cod asociază un GPO cu o OU din domeniul specificat ' CONFIGURARE SCRIPT strDomainDN - " " ' De exemplu: dc-ral encorp dc-com strGPO - '' " ' De exemplu: WorkstationsGPO strOUDN - ', '' ' De exemplu: ou-Workstations dc-rallencorp dc-com ' - TERMINAREA CONFIGURAȚIEI - strBaseDN - '' ;" strFilter - ''(&(objectcategory=*grouppolicycontainer)'' & "(objectclass-grouppolicycontainer)" & "(displayname-" & strGPO & "));" strAttrs - "ADsPath:" strScope - "OneLevel" set objConn - CreateObjectC'ADODB Connection") objConn Provider - "ADsDSOObject" objConn Open "Active Directory Provider" set objRS - objConn Execute(strBaseDN & strFilter & strAttrs & strScope) f objRS apoi EOF O TRUERS EOF objRS MoveFirst sfârşitul dacă dacă objRS RecordCount = , atunci strGPOADsPath = objRS Fields(O) Value Wscript Echo "GPO Found: " & strGPOADsPath el seif objRS RecordCount - atunci USscript Echo "Nu am găsit GPO potrivit pentru: " și strGPO Wscript Ieșire el seif objRS RecordCount > atunci WScript Echo "Hore than GPO found matching: " & strGPO Wscript Ieșire sfârşitul dacă set objOU - GetObjectCLDAP://" și strOUDN) la eroare reluați în continuare strGPLink - objOU GetCgpLink") dacă Err Număr atunci f Err Număr o - atunci WScript Echo "Eroare fatală la preluarea atributului gpLink: " & Conectarea unui GPO la un container Err Descriere Wscript Ieșire sfârşitul dacă sfârşitul dacă la eroare a ajuns la objOU Pune "gpLink" strGPLink & "[" & strGPOADsPath & ": ]" objOU SetInfo WScrlpt Echo "GPO a fost conectat cu succes" Un comentariu O legătură către un GPO asociat cu un anumit OU este stocat în atributul gpLink al OU Formatul acestui atribut este oarecum neobișnuit, așa că modificarea valorii acestuia manual sau programatic ar trebui făcută cu grijă Întrucât mai multe GPO pot fi asociate cu o organizație organizatorică, atributul gpLink trebuie să stocheze mai multe valori, dar nu este un atribut compus, așa cum s-ar presupune în mod natural Atributul gpLink are o singură valoare rezultată din concatenarea valorilor atributului ADsPath al tuturor GPO-urilor într-un singur șir Fiecare dintre aceste valori este cuprinsă între paranteze pătrate și este urmată de o pereche de ; dacă comunicarea este activată sau ; dacă comunicarea este dezactivată Iată o posibilă valoare a proprietății gpLink care conține două link-uri: [LDAP: /cn"{ E-C - C- D D-BB E E } cn-policies cn=system DC=ral encorp DC-com: ][LDAP://cn-{ AC C- F-UD - F- C fB F } cn-policies cn-systeiii DC-ral encorp DC"Com; ] Rețeta (Capitolul ) oferă un script VBScript mai eficient care vă permite să conectați un GPO la o unitate organizațională folosind API-ul GPMC Vezi si Capitolul oferă mai multe informații despre utilizarea Consolei de gestionare a politicilor de grup De asemenea, consultați MS CV (Scripting the Addition of Group Policy Links) utilizatori Introducere Conturile de utilizator sunt printre cele mai utilizate tipuri de obiecte Active Directory Acest capitol va aborda multe dintre întrebările și problemele importante cu care trebuie să se confrunte administratorii de sistem, deoarece conturile de utilizator din Windows și Windows Server sunt gestionate prin Active Directory Mai exact, aplicația gestionează toate informațiile legate de parole, apartenența la grupuri de utilizatori, dezactivarea și expirarea contului și conectarea utilizatorilor Anatomia obiectului utilizator În Active Directory, toate informațiile despre un utilizator sunt conținute în contul de utilizator, reprezentat de obiectul utilizator Implicit, obiectele utilizator se află în containerul cn=Users din directorul rădăcină al domeniului, deși, desigur, pot fi create în alte containere și OU-uri ale domeniului În tabel Tabelul enumeră cele mai importante atribute ale obiectului utilizator, dar rețineți că această listă este departe de a fi completă Tabelul atributele obiectului utilizatorului Descrierea atributului accountExpi res Un număr întreg mare care specifică când va expira contul de utilizator Vezi și rețeta SP Numele distinctiv relativ al obiectului utilizator Acesta este de obicei numele de utilizator pe care îl setează atunci când se conectează dlsplayName Numele afișat al utilizatorului, care este de obicei numele complet (de exemplu, Ivanenko Grigory Timofeevich) givenName Numele (și patronimul) utilizatorului homeDirectory Cale locală sau UNC către directorul principal al utilizatorului Vezi și rețeta honieDrive Numele unității mapat cu directorul principal al utilizatorului Vezi și rețeta Introducere Descrierea atributului lastLogon Ultima conectare a utilizatorului, nereplicată altor controlere de domeniu lastLogonTimestamp Ora aproximativă la care utilizatorul s-a conectat ultima dată, replicat la alte controlere de domeniu Acest atribut este nou pentru Windows Server Consultați și Rețeta managedObjects Asociat cu managedBy (vezi Rețeta ), un atribut compus care conține o listă de nume distinctive ale obiectelor gestionate de acest utilizator lockoutTime Un număr întreg mare reprezentând ultima dată când utilizatorul a fost blocat Vezi și rețeta memberOf O listă de nume distinctive ale grupurilor din care face parte acest utilizator Vezi și rețeta objectSID SID-ul utilizatorului, reprezentat ca un șir binar primaryGroupID Identificatorul grupului primar al utilizatorului Vezi și rețeta profilePath Calea UNC către folderul de profil Vezi și rețeta pwdLastSet Un număr întreg mare, care este ora la care parola utilizatorului a fost setată ultima dată Vezi și rețeta sAMAccountName Nume de utilizator NetBIOS, denumit nume de cont SAM Folosit pentru a se conecta la computere care rulează versiuni anterioare ale sistemelor de operare sidHistory Atribut compus care conține lista codurilor de securitate (SID) utilizate pentru a identifica acest utilizator (așa-numitul istoric al codurilor de securitate) scriptPath Calea către scriptul de conectare care este executată atunci când utilizatorul se conectează Vezi și rețeta sn Numele utilizatorului tokenGroups Listă de SID-uri ale grupurilor din acest domeniu cărora utilizatorul le aparține direct și indirect din cauza imbricației grupurilor unicodePwd Parola utilizatorului, stocată ca șir binar Acest atribut nu poate fi interogat direct userAccountControl Indicatori pentru un cont care determină starea acestuia, opțiunile de gestionare a parolelor și așa mai departe userPrlncipalName Numele contului de utilizator, sub forma unei adrese de e-mail, care este uneori dat la conectare Acest tip de nume se numește UPN (Nume principal de utilizator, nume principal de securitate) userWorkstations Un atribut compus care conține o listă de computere pe care utilizatorul poate lucra Capitolul Utilizatori Creați un cont de utilizator Problemă Este necesar să se creeze un nou cont de utilizator, adică un obiect utilizator Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computes Dacă trebuie să schimbați domeniul, faceți clic dreapta pe intrarea Active Directory Users and Computes (Active Directory - Users and Computers) din panoul din stânga din meniul contextual care se deschide, selectați comanda Connectto Domain (Conectați-vă la un domeniu ), introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, deschideți containerul părinte al noului utilizator, faceți clic dreapta pe el și selectați Nou ► Utilizator din meniul contextual care apare Introduceți prenumele, inițialele și numele utilizatorului, editați numele afișat al utilizatorului și apoi specificați UPN-ul pe care utilizatorul îl va utiliza pentru a se conecta Dacă utilizatorul va folosi un nume diferit pentru a se conecta la computere care rulează Windows NT, Windows sau Windows , specificați unul Acest nume se numește numele contului SAM Când ați terminat, faceți clic pe butonul Următorul Introduceți și confirmați o parolă, setați parametrii acesteia și faceți clic pe butonul Următorul Faceţi clic pe butonul Terminare Folosind interfața liniei de comandă > dsadd user "UserName>" -irp -fn " '' J - n " "-yі$rіau ', '' J -samid " -pwd Folosind un script VBScript Această constantă este preluată din enumerarea ADS USER FLAG ENUM Const ADS UF NORMAL ACCOUNT - set objParent - GetObject("LDAP :// ^ congener genus>") set objUser - objParent CreateCuser" ''cn- n) objUser Put "sAMAccountName", " '' objUser Put "userPrincipalNarne" '' '' objUser Put "givenName" " " objUser Put "sn", " " objUser Put "dlsplayName" " " ObjUser Pune "userAccountControl" ADS UF NORMAL ACCOUNT objUser SetInfo objUser SetPassword(" ") ' De exemplu: Joes ' De exemplu: Joes ' De exemplu: joes@rallencorp com ' De exemplu: Joe ' De exemplu: Smith De exemplu: Joe Smith Crearea unui număr mare de conturi de utilizator objUser AccountDisabled - FALSE objUser SetInfo Un comentariu Singurul atribut opțional care este setat la crearea unui nou cont de utilizator este sAMAccountName, numele contului utilizat atunci când interacționați cu domeniile de nivel inferior Pentru ca contul să devină imediat disponibil utilizatorului, trebuie să îl activați, pt pe care ar trebui să setați atributul userAccountControl la și, de asemenea, să setați o parolă (vezi Rețeta - ) Dacă UPN-urile sunt permise în timpul conectării, verificați dacă este setat atributul userPrincipalName În Windows Server , există o altă modalitate de a crea un cont de utilizator - folosind clasa InetOrgPerson descrisă în Rețeta Obiectele acestei clase, cum ar fi obiectele utilizator, sunt concepute pentru a autentifica un utilizator și a restricționa accesul la resurse Spre o soluție cu o interfață grafică de utilizator Pentru a seta atribute suplimentare, faceți dublu clic pe contul de utilizator creat Se va deschide o casetă de dialog cu mai multe file care vor grupa atributele asociate La soluție folosind interfața de linie de comandă Mai multe atribute pot fi setate folosind comanda dsadd user Pentru o listă completă a opțiunilor sale, rulați comanda dsadd user /? Către o soluție VBScript Pentru mai multe informații despre obiectul userAccountControl și despre steagurile care pot fi setate pe acesta, consultați Rețeta Vezi si Rețeta descrie cum să creați conturi de utilizator în lot, iar Rețeta - descrie cum să creați un cont de tip InetOrgPerson Examinați documentul MSDN: ADS USER FLAG ENUM Crearea unui număr mare de conturi de utilizator Problemă Este necesar să se creeze un număr mare de obiecte utilizator care vor fi utilizate fie în timpul testării sistemului, fie la completarea inițială a Active Directory cu informații despre utilizatori (de exemplu, angajați, clienți, studenți etc ) Capitolul b Utilizatori Soluţie În următoarele exemple, de conturi de utilizator sunt create în divizia Bulk a domeniului ha]'encorp com Sunt setate parole pentru ele, dar nu sunt configurați alți parametri Dacă utilizați codul propus în practică, îl puteți completa în așa fel încât să puteți completa atributele necesare Folosind interfața liniei de comandă > pentru /L în ( ) do dsadd user cn=User$i,ou=bulk dc-rallencorp dc-com pwd Userfci Folosind un script VBScript ' Acest cod creează un număr mare de conturi de utilizator, numele ' care sunt numerotate consecutiv De exemplu: Userl, User Utilizator ' - CONFIGURARE SCRIPT intNumUsers - * Numărul de conturi de utilizator de creat strParentON - " '' ' De exemplu: ou-bulk dc=emea dc=rallencorp,dc-com • TERMINARE CONFIGURARE - - ' Această constantă este preluată din enumerarea ADS USER FLAG ENUM Const ADS UF NORMAL ACCGUNT = set objParent - GetObjectCLDAP://" și strParentDN) pentru - la intNiMJsers strUser = "Utilizator" și Set objUser = objParent Create ("utilizator" "cn-" & strUser) objUser Puneți "sAMAccountName" strUtilizator objUser Pune "userAccountControl" ADS UF NORMAL ACCOUNT objUser SetInfo objUser SetPassword(strUser) objUser AccountDi sabled-FALSE objUser SetInfo Wscript Echo "Creat" și strUser Următorul Wscript Echo "" WScript Echo "Created" & IntNumUsers și "users" Un comentariu Folosind ADSI și noile utilitare Windows Server DS cu o interfață de linie de comandă, puteți crea rapid și ușor sute și mii de conturi de utilizator Autorul a aplicat ambele metode de rezolvare a problemei (crearea a de obiecte fiecare) într-un domeniu experimental pe un computer cu un singur procesor folosind utilitarul dsadd și un script VBScript În primul caz, operația a fost finalizată în mai puțin de minute, în al doilea - în , minute Ambele metode necesită completarea unui număr mic de atribute, dar chiar dacă sunt mai multe operațiunile sunt totuși destul de rapide Dacă este necesar, codul poate fi schimbat astfel încât informațiile să fie preluate dintr-un fișier sau bază de date Crearea unui obiect InetOrgPerson Vezi si Rețeta vorbește despre crearea unui obiect utilizator separat Crearea unui obiect inetOrgPerson Problemă Doriți să creați un obiect din clasa inetOrgPerson, o clasă LDAP standard care reprezintă utilizatori Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Utilizări și computere Dacă doriți să schimbați domeniul, în panoul din stânga, faceți clic pe Active Directory Uses and Computere, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, deschideți containerul părinte în care doriți să plasați noul cont de utilizator, faceți clic dreapta pe el și selectați Nou ► InetOrg-Person din meniul contextual care se deschide Introduceți numele utilizatorului, inițialele și numele de familie, numele complet, apoi numele sub care utilizatorul se va autentifica Faceți clic pe butonul Următorul Introduceți și confirmați o parolă, setați parametrii acesteia și faceți clic pe butonul Următorul Faceți clic pe butonul Rnish Folosind interfața liniei de comandă Deoarece comanda dsadd nu acceptă crearea obiectelor inetOrgPerson, vom folosi comanda Idifde Creați un fișier LDIF numit create inorgperson ldf cu următorul conținut: dn: tipul de modificare: adăugați clasă obiect: inetorgperson sAMAccountName: userAccountControl: Înlocuiți cu numele distinctiv al utilizatorului pentru care doriți să creați un cont și cu contul de utilizator, apoi rulați următoarea comandă > Idifde - -f create inorgperson ldf Capitolul Utilizatori Folosind un script VBScript ' Acest cod creează un obiect InetOrgPerson set objParent - Get bject("LDAP:// ") set objUser - objParent Create(" netorgperson" "sp- ") • Această constantă este preluată din enumerarea ADS USER FLAG ENUM Const ADS UF NORKAL ACCOUNT - objUser Pune "sAMAccountName", * " objUser Put "userPrincipalName" "^PPI-UserName^ objUser Put "givenName" '^username^ objUser Put "sn" " " objUser Puneți "displayName", " " objUser Put "userAccountControl" ADS UF NORMAL ACCOUNT objUser SetInfo objUser SetPassword(" ") objUser AccountDIsabled - FALSE objUser Un comentariu Clasa InetOrgPerson este definită în RFC Acesta este cel mai bun format de cont de utilizator disponibil în LDAP și majoritatea furnizorilor LDAP îl acceptă Primele versiuni ale Microsoft Active Directory nu au suportat această clasă, dar acum, din fericire, există un add-on necesar Majoritatea implementărilor Active Directory folosesc clasa de utilizator și este puțin probabil ca acestea să fie reproiectate Kitul InetOrgPerson pentru Windows poate fi descărcat de pe site-ul web Microsoft la http://msdn microsoft com/library/en-us/dnactdir/html/inet-opkitasp Pentru a susține o clasă suplimentară și atributele acesteia, va trebui să extindeți schema Adevărat, acest lucru poate intra în conflict cu Windows Server Pentru mai multe informații despre utilizarea clasei InetOrgPerson, consultați MS KB Windows Server Active Directory acceptă clasa i netOrgPerson Acum, obiectele acestei clase pot fi create pentru utilizatori și vor fi folosite pentru autentificare în același mod ca obiectele clasei de utilizator Dacă nu ați implementat încă Active Directory și intenționați să integrați un număr semnificativ de aplicații bazate pe LDAP care utilizează obiecte InetOrgPerson, este posibil să le preferați în locul obiectelor utilizator În același timp, aceeași funcționalitate, aceleași informații și chiar atribute noi vor apărea la dispoziția dumneavoastră Cu toate acestea, rețineți că unele instrumente Microsoft, și în special utilitarul DS, nu acceptă operațiuni pe obiecte InetOrgPerson Vezi si Rețeta vorbește despre crearea unui obiect utilizator Consultați RFC (Definiția clasei de obiect LDAP inetOrgPerson) Setarea unui atribut pentru mai mulți utilizatori în același timp Setarea unei valori de atribut pentru mai mulți utilizatori în același timp Problemă Este necesar să setați valoarea atributului pentru mai mulți utilizatori simultan Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe intrarea Active Directory Users and Computers din panoul din stânga, apoi selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, deschideți containerul părinte al obiectelor al căror atribut doriți să îl schimbați În panoul din dreapta, selectați aceste obiecte, apoi faceți clic dreapta pe ele și selectați Proprietăți din meniul contextual care se deschide Bifați caseta de selectare pentru atributul sau atributele pe care doriți să le editați și introduceți noi valori Faceţi clic pe butonul OK NOTĂ - - Această rețetă necesită versiunea Windows Server a snap-in-ului Active Directory Users and Computers Folosind interfața liniei de comandă Următoarea comandă setează pentru fiecare utilizator din containerul specificat ( ) un director principal situat pe un anumit server de fișiere ( ) În loc de numele de utilizator (îusernameî), numele directorului este setat la valoarea atributului sAMAccountName al obiectului utilizator > pentru /F "usebackq deHms-""" in ('dsquery user " " -Urnit -scopeJ onelevel') do dsmod user -hmdir $'' Folosind un script VBScript Acest cod setează pentru fiecare utilizator din containerul specificat un director principal situat pe un anumit server de fișiere, iar numele acestui director este valoarea sAMAccountName a fiecărui utilizator set objParent - GetObject("LDAP:// ') objParent Filter - Array("user") pentru fiecare objUser din objParent Wscript Echo "Modificarea " & objUser Get("sAMAccountName") objUser HomeDirectory - "\\ \,' & objUser Get (''sAMAccountName") objUser SetInfo Următorul Capitolul Utilizatori Un comentariu Foarte des, în procesul de administrare a Active Directory, devine necesară actualizarea valorilor atributelor mai multor utilizatori simultan, ceea ce se poate datora, de exemplu, unor modificări organizaționale Soluțiile de mai sus arată cum se modifică valoarea atributului pentru toate obiectele utilizator din același container, dar pentru selectarea obiectelor care sunt modificate utilizator, puteți utiliza alte criterii Adevărat, snap-in-ul Active Directory Users and Computere (Active Directory Users and Computers) nu oferă o astfel de oportunitate, dar în Windows Server poate fi folosit pentru a crea o interogare salvată care ar returna obiectele utilizatorului selectate pe baza anumitor criterii Prin executarea unei astfel de interogări, puteți extrage numele utilizatorilor găsiți și puteți modifica atributele acestora așa cum este descris mai sus În cazul în care modificarea atributelor obiectelor se face folosind linia de comandă, comanda utilizatorului dsquery poate fi modificată astfel încât să selecteze obiectele în modul în care aveți nevoie Același lucru este valabil și pentru scripturile VBScript Vă permite să efectuați căutări mai complexe utilizând o interogare ADO în loc de metoda Filter Consultați Rețeta (Capitolul ) pentru mai multe detalii despre cum să căutați obiecte folosind ADO Mutați un cont de utilizator Problemă Trebuie să mutați obiectul utilizator într-un alt container sau OU Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic pe intrarea Active Directory Users and Computere din panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Fmd (Find) din meniul contextual care se deschide Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum Faceți clic dreapta pe numele utilizatorului dorit și selectați comanda Move (Move) din meniul contextual care se deschide Localizați și selectați containerul sau OU în care doriți să mutați obiectul utilizator Faceţi clic pe butonul OK b o schimbarea numelui de utilizator UZ Folosind interfața liniei de comandă > dsmove " " -newparent " " Folosind un script VBScript ' Acest cod mută un cont de utilizator dintr-un container în altul ■ CONFIGURARE SCRIPT - strUserDN - " " ' De exemplu: cn-rallen cn-users dc-rallencorp,dc-com strOUDN - ' " ' de ex ou-Sales dC"rallencorp,dc-com ■ TERMINAREA CONFIGURĂRII Set objUser - GetObjectCLDAP://" și strUserDN) Set objOU - GetObject("LDAP://" & strOUDN) objOU MoveHere objUser AOsPath, objUser Name Un comentariu Mutarea unui cont de utilizator dintr-un container (sau OU) în altul nu îl afectează în niciun fel Adevărat, uneori setările de securitate sunt modificate sau se aplică un alt GPO contului - cel asociat noului său container părinte Vezi si Rețeta (Capitolul ) vorbește despre mutarea obiectelor între diferite departamente Schimbarea numelui de utilizator Problemă Este necesară schimbarea numelui de utilizator în contul său Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum Faceți clic dreapta pe numele utilizatorului dorit și selectați comanda Redenumire din meniul contextual care se deschide Se va deschide o fereastră în care puteți edita numele utilizatorului, numele de familie, inițialele, numele afișat, datele de conectare UPN și numele contului SAM Introduceți datele necesare și faceți clic pe butonul OK X Y*" I HdBd O I lUJIbJUBd ICJ II Folosind interfața liniei de comandă Următoarea comandă modifică numele distinctiv relativ al utilizatorului: > dsmove " " De asemenea, puteți modifica numele UPN (comutator -upn), prenumele și al doilea nume (-fn), numele de familie (- n) și numele afișat (-display) cu comanda utilizatorului dsmod De exemplu, următoarea comandă modifică numele și numele UPN al utilizatorului: > dsmod user " " -upn " " -In " " Folosind un script VBScript ' Acest cod schimbă numele distinctiv relativ al utilizatorului ' și valoarea atributului sAMAccountName (numele contului SAM) ' CONFIGURARE SCRIPT strParentDN " " " ' De exemplu: cn-Users dc-rallencorp dc-com strUserOldName = " " ' De exemplu: jsmith strUserNewName = " " ' De exemplu: cn-Users dc-ra encorp,dc-com strTemplateUser - '' " ' De exemplu: template-user-sales strNewUser ° " " ' De exemplu: jdoe strPassword = " " ' TERMINAREA CONFIGURAȚIEI Const ADS UF NORMAL ACCOUNT = de la ADS USER FLAGJNUM SD i lava oi lojibjobd Set objTemplate - GetObject("LDAP://cn"" & strTemplateUser & &strParentDN) Set objParent - GetObjectCLDAP://" și strParentDN) Setați objUser - objParent CreateC'user" "cn-" și strNewUser) objUser Puneți "sAMAccountName" strNewUser objUser Pune "userAccountControl" ADS UF NORMAL ACCOUNT pentru fiecare strAttr din arrAttrs objUser Put strAttr objTemplate Get(strAttr) Următorul objUser SetInfo objUser SetPassword(strPassword) objUser AccountDisabled - FALSE objUser SetInfo Wscript Echo "Utilizator creat cu succes" Un comentariu Pentru a crea o copie a unui cont de utilizator, trebuie mai întâi să creați un cont nou, apoi să copiați un număr de atribute din valoarea inițială în acesta Complementul Active Directory Users and Computers copiază numai acele atribute care sunt marcate în schemă ca Copiate când se dublează și utilizator (atribut Copiere când se dublează un cont) Scriptul VBScript de mai sus folosește un set codificat de atribute Dacă vă întrebați cum specifică schema atributele de copiat, consultați Rețeta (Capitolul ) Spre o soluție cu o interfață grafică de utilizator Pentru a copia un cont de utilizator folosind programul de completare Active Directory Users and Computers, trebuie să localizați obiectul utilizator original Acest lucru va trebui făcut manual, deoarece nu există nicio comandă Copiere (Copiere) în meniul contextual al obiectului din fereastra cu rezultatele căutării Către o soluție VBScript Active Directory Service Interfaces (ADSI) include metoda CopyNege, dar este disponibilă numai pentru furnizorul NDS Nu este implementat pentru furnizorul LDAP și, prin urmare, copierea unui obiect utilizator folosind această metodă nu este acceptată Vezi si Rețeta (Capitolul ) descrie modul de vizualizare și modificare a listei de atribute rezultate din copierea unui obiect utilizator Deblocarea unui cont de utilizator Problemă Contul de utilizator trebuie deblocat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Users and Computers (Utilizatori și computere Active Directory) În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă IP (V), selectați un domeniu Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum Faceți clic dreapta pe obiectul utilizator și selectați comanda Deblocare din meniul contextual care se deschide Faceţi clic pe butonul OK Folosind un script VBScript * Acest cod ar trebui să deblocheze utilizatorul blocat CONFIGURARE SCRIPT strUsername = " " ' De exemplu: jsmith strDomain - " ' ' De exemplu - RALLENCORP ' END CONFIGURATION set objUser - GetObjectCWinNT://" & strDomain & "/" & strUsername) dacă objUser IsAccountLocked - TRUE atunci objUser IsAccountLocked - FALSE objUser SetInfo WScrlpt Echo "Cont deblocat" el se WScrlpt Echo "Contul nu este blocat" sfârşitul dacă Un comentariu Dacă blocarea contului este activată în domeniu (vezi Rețeta ), Active Directory va efectua periodic această operațiune Contul de utilizator este blocat în mai multe cazuri, cel mai adesea din cauza faptului că utilizatorul introduce parola incorect de mai multe ori sau, după ce a schimbat parola, uită să se deconecteze și să se conecteze din nou, iar numele Drive-ului este definit pentru aceasta , care corespunde directorului principal al utilizatorului Pentru a determina în mod programatic dacă un utilizator este blocat, utilizați metoda lADsUser: IsAccountLocked disponibilă în ADSI Setând această metodă la FALSE, utilizatorul poate fi deblocat Din păcate, în versiunea furnizorului LDAP a acestei metode, există o eroare, așa că trebuie să utilizați furnizorul WînNT (Eroarea în cauză este documentată în MS KB ) Vezi si Rețeta vă arată cum să găsiți utilizatori blocați, iar Rețeta vă arată cum să vedeți o politică de blocare a contului De asemenea, consultați MS KB (Modificarea programatică a semnalizatorului de blocare în Windows ) și MSDN: Blocarea contului Căutați conturi de utilizator blocate Problemă Trebuie să găsiți conturi de utilizator blocate Soluţie Folosind interfața liniei de comandă Următoarea comandă găsește toate conturile de utilizator blocate din domeniul căruia îi aparține controlerul de domeniu dat: > deblocați * -view NOTĂ - - Utilitarul unlock exe este scris de Joe Richards (http //www joeware net/) Poate fi descărcat cu ușurință de pe site-ul lui Joe la http://www joeware net/win /zips/Unlock zip Un comentariu Găsirea conturilor blocate este, în mod ciudat, o sarcină destul de dificilă Dacă credeți că este suficient să rulați o interogare precum cea care caută utilizatori cu dizabilități, atunci vă înșelați Când un utilizator este blocat, ora curentă este scrisă în atributul lock-outTime Prin urmare, pentru a afla care dintre conturile de utilizator sunt blocate, trebuie să selectați acele obiecte utilizator care au acest atribut completat (adică, căutați după criteriul lockoutTime=*) Cu toate acestea, o astfel de interogare va returna o listă cu toate conturile care au fost interzise, inclusiv cele care au fost deja deblocate Aici încep dificultățile Pentru a afla care dintre aceste înregistrări sunt încă blocate, citiți valoarea atributului lockoutDuration al obiectului de domeniu (ex dc=rallencorp, dc-com) Acest atribut specifică perioada de timp, în minute, în care un cont rămâne blocat înainte de a fi deblocat automat blocat Astfel, filtrul de selectare a conturilor blocate ia forma următoare (&(objectcategoryH erson)(objectclas$=user)(lockoutT me>DorivedTimestamp)) Niciunul dintre instrumentele standard Active Directory nu efectuează o astfel de filtrare, dar datorită lui Joe Richards, putem folosi utilitarul unlock exe, care nu numai că poate enumera conturile de utilizator blocate, ci și le poate debloca Multumesc Joe! Vezi si Document MS KB (Suport WebCast Microsoft Windows Server și Windows Server : Funcții de blocare a parolei și a contului) Rezolvarea problemelor de blocare a contului Problemă Utilizatorul are o problemă cu contul său și trebuie să aflați de ce este blocat și cum să îl deblocați Soluţie Utilizarea interfeței grafice cu utilizatorul Windows și Windows Server au introdus o caracteristică numită LockoutStatus care vă permite să determinați ce utilizatori controler de domeniu sunt blocați periodic Acesta solicită informații despre starea de blocare a utilizatorului pe toate controlerele de domeniu din domeniul respectivului utilizator Pentru a determina starea de blocare a utilizatorului, urmați acești pași: Lansați utilitarul LockoutStatus și executați comanda File ► Select Target Introduceți un nume de utilizator și specificați un domeniu Faceți clic pe butonul OK De acum încolo, programul va sonda toate controlerele de domeniu și va afișa rezultatele Un comentariu Utilitarul Lockoutstatus exe face parte din setul de instrumente de blocare și gestionare a contului oferit de Microsoft utilizatorilor mijloace adecvate acestui scop Pe lângă programul de mai sus, setul include următoarele instrumente: Un AL ockout dll este o bibliotecă utilizată în scriptul EnableKerbLog vbs, care permite înregistrarea rezultatelor autentificării aplicației și este concepută pentru a detecta aplicațiile care conțin nume de utilizator sau parole nevalide care cauzează blocarea; ALoInfo exe este un utilitar care listează serviciile și share-urile care folosesc un anumit nume de cont și listează toți utilizatorii cu datele de expirare a parolei; Despre NLParse exe este un instrument de filtrare pentru fișierele netlogon log, folosit în principal pentru a detecta liniile legate de blocarea conturilor Toate instrumentele noi de blocare a contului pot fi descărcate de la: http://micro-soft com/downloads/details aspx?familyid= AF E C- F - E - -B ADE B E&dispaylang=en Vezi si Document MS KB (Suport WebCast: Microsoft Windows Server și Windows Server : Funcții de blocare a parolei și a contului) Vedeți politicile de blocare a contului de domeniu și de gestionare a parolelor Problemă Doriți să examinați politicile de blocare a contului de domeniu și de gestionare a parolelor Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Politica de securitate a domeniului În panoul din stânga, deschideți containerul Setări de securitate și, în cadrul acestuia, deschideți containerul Politici de cont Faceți clic pe Politică de parolă sau Politică de blocare a contului, apoi faceți dublu clic pe proprietatea pe care doriți să o setați sau să o vizualizați din lista care apare în panoul din dreapta Folosind interfața liniei de comandă > enumprop /ATTR:lockoutduration,lockoutthreshold lockoutobservation window d maxpwdage minpwdage mlnpwdlength,pwdhistorylength pwdproperties "LDAP:/ ! '' Vedeți politicile de blocare a contului de domeniu Folosind un script VBScript ' Acest cod tipărește setările curente ale politicii de blocare a contului ■ și politici de gestionare a parolelor • CONFIGURARE SCRIPT - strDomain - " '' ' De exemplu, rallencorp com ■ SFÂRȘIT CONFIGURARE set objRootDSE - GetObjectCLDAP://" & strDomain & "/RootDSE") set objDomain - GetObjectCLDAP://' & objRootDSE GetCdefaultNamingContext") 'Hash conţinând atributele ambelor politici ca perechi ' tasta de unitate (de exemplu: minute) set objDomAttrHash = CreateObjectCScnpting Dicționar") objDomAttrHash Adăugați "lockoutDuration" "minute" objDomAttrHash Adăugați "lockoutThreshold", "încercări" objDomAttrHash Adăugați "lockoutObservationWindow" "minute" objDomAttrHash Add "maxPwdAge"PwdAge" "minute" objDomAttrHash Adăugați "minPwdLength" "caracterele" objDomAttrHash Adăugați "pwdHistoryLength" "remembered" objDomAttrHash Add "pwdProperties" " " ' Repetați peste toate atributele și imprimați-le pe ecran pentru fiecare strAttr din objDomAttrHash Keys Dacă IsObjectC objDomain Get(strAttr) ) atunci set objLargelnt - objDomain Get(strAttr) dacă objLargelnt LowPart = O atunci valoare = O el se valoare = AbsCobjLargelnt HIghPart * A + objLargelnt LowPart) valoare - int (valoare / ) valoare - int (valoare / ) sfârşitul dacă el se valoare - objDomain Get(strAttr) sfârşitul dacă WScrlpt Echo strAttr valoare & " " & objDomAttrHash(strAttr) Următorul Константы из перечисления DOMAIN PASSWORD INFORMATION Set objDomPassHash - CreateObjectCScripting Dictionary") objDomPassHash Add "DOMAIN PASSWORD COMPLEX" &hl ObjDomPassHash Add "DOMAIN PASSWORD NO ANON CHANGE" &h ObjDomPassHash Add "DOMAIN>ASSW RD N CLEAR CHANGE" &h ObjDomPassHash Add "DOMAIN JX)CKOUT ADMTNS" &h objDomPassHash Adăugați ,,DOMAIN PASSWORD STORE CLEARTEXT" &h! ObjDomPassHash Adăugați "DONAIN REFUSE PASSWORD CHANGE" &h ' Atributul PwdProperties necesită o gestionare specială deoarece este o colecție de steaguri reprezentând mai multe setări tor fiecare strFlag În objDomPassHash Keys dacă objDomPassHash(strFlag) și objDomain GetCPwdProperties"), atunci WScrlpt Echo " " & strFlag & ' este activat" el se WScrlpt Echo " " & strFlag & " este dezactivat" end If Următorul Capitolul Utilizatori Un comentariu Un GPO de securitate de domeniu poate avea mai multe setări care controlează blocarea conturilor și cerințele de complexitate a parolei Iată o listă de opțiuni de blocare a contului: О Durata blocării contului - timpul în minute în care contul va fi blocat (valoarea corespunde unei blocări nedeterminate, adică atunci când contul nu este deblocat automat și această acțiune este efectuată manual de administrator); Un prag de blocare a contului - numărul de încercări eșuate de conectare înainte ca contul să fie blocat; O Resetează contorul de blocare a contului după - Timpul în minute după o încercare de conectare eșuată înainte ca contorul încercărilor de conectare eșuate să fie resetat la O Următoarele sunt principalele setări care definesc politica de gestionare a parolelor О Forțați istoricul parolelor (necesită non-repetabilitatea parolelor) - numărul de parole memorate de sistem care nu trebuie repetate (numai prin schimbarea parolei de un anumit număr de ori, utilizatorul poate folosi din nou parola veche), Despre Maximum password hell (Max, data expirării parolei) - perioada maximă de utilizare a unei parole: după un anumit număr de zile, utilizatorul trebuie să o schimbe; Despre Minimum password hell (Min expirare parolă) - perioada minimă de utilizare a parolei: parola nu trebuie schimbată de mai multe ori în numărul specificat de zile; О Lungimea minimă a parolei (Lungimea minimă a parolei) - numărul minim de caractere din parolă; О Parola trebuie să îndeplinească cerințele de complexitate (Parolele trebuie să îndeplinească cerințele de complexitate) - dacă această opțiune este activată, parolele trebuie să îndeplinească aceste cerințe - nu conțin numele complet al contului de utilizator sau o parte a acestuia, constă din cel puțin șase caractere - majuscule latină litere (A -Z), litere latine mici (az), cifre zecimale ( - ), precum și caractere non-alfanumerice (I, S, #, % etc ); Despre Stocarea parolei folosind criptarea reversibilă - Dacă este activată, parolele trebuie să fie stocate într-o formă care poate fi decriptată (acest lucru nu este diferit de stocarea parolelor în mod clar) Vedeți politicile de blocare a contului de domeniu Spre o soluție cu o interfață grafică de utilizator Pe un controler de domeniu sau un computer pe care este instalat pachetul adminpak msj, snap-in-ul pentru Politica de securitate a domeniului poate fi apelat utilizând comanda Start ► Programe ► Instrumente de administrare (Start ► Programe ► Instrumente administrative) Pe un server membru, pentru a-l accesa, trebuie să deschideți snap-inul GPO (Politica de grup) și să găsiți elementul Politică de securitate a domeniului în panoul din stânga Pentru mai multe informații despre obiectele politicii de grup, consultați capitolul La soluție folosind interfața de linie de comandă Nu există un utilitar standard de linie de comandă pentru a modifica un GPO, dar puteți utiliza comanda enumprop pentru a vizualiza atributele obiectului domainDNS legate de blocarea contului și politicile de gestionare a parolelor Către o soluție VBScript Soluția VBScript s-a dovedit a fi destul de complicată În primul rând, este creat un obiect Dicționar în care toate cele șase atribute sunt reprezentate prin chei, iar valorile sunt unități de măsură, cum ar fi minutele Bucla repetă apoi peste chei și scoate valorile din dicționar și valorile preluate de la obiectul domeniului Unele valori ale atributelor necesită cod special pentru a fi gestionate Cu atribute care reprezintă timpul, cum ar fi lockoutDuration, în loc de o valoare întreagă sau șir, metoda Get returnează un obiect de tip lADsLarge-Integer care conține un set de numere întregi pe de biți de tip Integer În sistemele pe de biți (și după cum știți, astfel de sisteme prevalează în prezent), numerele pe de biți sunt împărțite în două părți - înaltă și scăzută Din păcate, VBScript nu are o facilitate încorporată pentru a lucra cu astfel de numere și le stochează în format dublu ), apoi adăugați-l pe cel mai tânăr valoare - AbstobjLargelnt HighPart * L + objLargelnt LowPart) Numărul rezultat ar trebui împărțit la , sau IO , adică numărul de intervale de de nanosecunde într-o secundă valoare ■ int (valoare / ) După aceea, folosind funcția nt, restul diviziunii este eliminat, iar rezultatul este împărțit la (numărul de secunde într-un minut) valoare - int (valoare / ) Rețineți că valoarea rezultată este o aproximare; poate diferi de cea reală cu câteva minute, ore sau chiar zile, în funcție de valoarea inițială Ultima parte a codului iterează peste un alt obiect Dicționar, care conține constante reprezentând steaguri care fac parte din atributul pwdProperties Capitolul Utilizatori Vezi si Documente MS KB (Configurarea politicilor de cont în Active Directory), MS KB (Politica de securitate a domeniului în Windows ), MSDN: lADsLargeln-teger și MSDN: DOMAIN PASSWORD INFORMATION Activați sau dezactivați un cont de utilizator Problemă Trebuie să activați sau să dezactivați contul de utilizator Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați găsiți din meniul contextual care se deschide În lista derulantă IP (B), specificați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum Faceți clic dreapta pe numele de utilizator și selectați Dezactivare cont sau Activare cont din meniul contextual care se deschide Faceţi clic pe butonul OK Folosind interfața liniei de comandă Pentru a activa contul de utilizator, executați următoarea comandă: > dsmod user -disabled nr Dezactivarea unui cont de utilizator se face folosind următoarea comandă: > dsmod user -dezactivat da Folosind un script VBScript Acest cod activează sau dezactivează contul de utilizator ' CONFIGURARE SCRIPT - Setați variabila strDisableAccount la FALSE pentru a o dezactiva cont sau TRUE pentru a porni StrDisableAccount = FALSE strUserDN ■ "OI-User^ ' de ex cn-jsmith cn-Users dc-rallencorp dc-com * TERMINAREA CONFIGURĂRII Căutați conturi de utilizator dezactivate set objUser - GetObjectCLDAP;//' & strUserDN) dacă objUser AccountDisabled - TRUE atunci WScript Echo "Cont pentru " & objUser GetC'cn") și " în prezent dezactivat" dacă strDisableAccount FALSE atunci objUser AccountDisabled - strDisableAccount objUser SetInfo WScript Echo "Cont activat" sfârşitul f el se WScript Echo "Cont activat în prezent" dacă strDisableAccount - TRUE atunci objUser AccountDisabled - strDisableAccount objUser SetInfo WScript Echo "Cont dezactivat" sfârşitul dacă sfârşitul dacă Un comentariu Starea contului activat/dezactivat determină dacă utilizatorul este conectat Când un cont de utilizator este dezactivat, contul de utilizator nu se poate conecta folosind acel cont și, prin urmare, nu poate utiliza resursele gestionate de Active Directory La fel ca starea de blocare, starea activată/dezactivată este stocată ca flag în atributul userAccountControl (vezi Rețeta ) Pentru a citi și a modifica starea specificată, utilizați proprietatea IADs-User: AccountDisabled Setând-o la FALSE, puteți dezactiva contul, iar setând-l la TRUE, invers, îl puteți activa Vezi si Rețeta - explică cum să găsești conturi dezactivate, în timp ce Rețeta - oferă mai multe detalii despre atributul userAccountControl Căutați conturi de utilizator dezactivate Problemă Doriți să găsiți conturi de utilizator dezactivate într-un anumit domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul - Deschideți snap-inul Active Directory Users and Computers Conectați-vă la domeniul care vă interesează Capitolul Utilizatori Faceți clic dreapta pe acest domeniu și selectați comanda Find din meniul contextual care se deschide În lista derulantă Find, selectați Common Queries Bifați caseta de validare Conturi dezactivate Faceți clic pe butonul Găsiți acum Folosind interfața liniei de comandă > dsquery user -disabled Folosind un script VBScript ' Acest cod găsește toate conturile dezactivate din domeniu ' -CONFIGURARE SCRIPT strDomainDN - " " ' De exemplu dc=rallencorp,dc-com ■ - TERMINAREA CONFIGURĂRII - strBase •= ' Comutatorul -expand vă permite să includeți în această listă grupuri cărora le aparține utilizatorul ca membru al grupurilor imbricate: > dsget user -memberof [-expand] Folosind un script VBScript Codul afișează o listă de grupuri cărora le aparține utilizatorul dat Pentru a evita bucla din cauza cuibăririi circulare a grupurilor în acest scenariu, sunt urmărite grupurile deja vizualizate ' CONFIGURARE SCRIPT strUserDN - " ' ' Napriner cn=ga en,ou-Sales dc=ra encorp dc-com strGroupDN - " " ' De exemplu - cn-SalesGroup ou-Sales cc-raTlencorp dc-com -Sfârșitul configurării Const ADS PROPERTY APPEND - set objUser - GetObjectCLDAP //" și strUserDN ) WScrlpt Echo set objGroup - GetObjectCLDAP://" și strGroupDN ) objGroup GetlnfoEx ArrayCprimanyGroupToken") dacă objGroup GetCpnmaryGroupToken") - objUser GetCprimaryGroupID") atunci kScript Echo "Grupul prlniary pentru utilizator deja setat la & strGroupDN WScript Quit sfârşitul dacă IntAddMember - pentru fiecare strMemberDN din objUser GetEx ("memberOf") dacă LCase(strMemberDN) - LCase(strGroupDN) atunci intAddMember - O ieșire pentru sfârşitul dacă Următorul dacă IntAddMember > O atunci objGroup PutEx ADS PROPERTY APPEND, "membru" Array(strUserDN) objGroup SetInfo WScrlpt Echo "Adăugat" și strUserDN & " ca membru al "" și strGroupDN se încheie dacă objUser Put "primaryGroupID'' objGroup GetCprimaryGroupToken") objUser SetInfo WScript Echo "S-a schimbat ID-ul grupului primar al " & strUserDN & la "& objGroup GetCprimaryGroupToken") Capitolul Utilizatori Un comentariu Conceptul de grup de bază este moștenit de la Windows NT și este folosit în principal pentru a sprijini clienții Macintosh și POSIX De obicei, un grup primar este definit doar pentru unii utilizatori și în cazurile în care este necesar pentru funcționarea aplicațiilor existente Schimbarea obiectului grupului principal în mod programatic este o sarcină simplă, dar necesită unele explicații RID-ul grupului primar al utilizatorului este stocat în atributul primaryGroupID al obiectului utilizator Pentru a afla ID-ul unui grup dat, trebuie să citiți valoarea atributului primaryGroupToken din obiectul său de grup Înainte de a seta atributul primaryGroupID pe un obiect utilizator, asigurați-vă că utilizatorul este membru al grupului corespunzător; dacă nu este, veți primi un mesaj de eroare În mod implicit, atributul primaryGroupID al tuturor utilizatorilor este setat la (grup de utilizatori de domeniu) Vezi si Rețeta (Capitolul ) vă spune cum să determinați numele unui grup din ID-ul său De asemenea, vă recomandăm să citiți MS KB (HOWTO: Utilizați atributul PrimaryGroupID pentru a găsi grupul principal pentru un utilizator), MS KB (Cum să utilizați componentele ADSI native pentru a găsi grupul primar) și MS KB (identificatori de securitate bine cunoscuți) în Windows ) Includeți un utilizator în toate grupurile din care este membru un alt utilizator Problemă Doriți să includeți un anumit utilizator în aceleași grupuri ca un alt utilizator Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), selectați domeniul căruia îi aparțin utilizatorii Specificați numele utilizatorului a cărui apartenență la grup doriți să eșantionați și faceți clic pe butonul Găsiți acum Includeți un utilizator în toate grupurile În fereastra cu rezultatele căutării, faceți dublu clic pe numele utilizatorului găsit pentru a deschide fereastra proprietăților acestuia Faceți clic pe fila Member Of Pentru fiecare grup în care doriți să includeți un alt utilizator, faceți următoarele: ■ dublu clic pe numele grupului; ■ deschide fila Membri; ■ faceţi clic pe butonul Adăugare; ■ în caseta de dialog care se deschide, selectați un nume de utilizator și faceți clic pe butonul OK; ■ Faceţi clic din nou pe OK Folosind interfața liniei de comandă Următoarea comandă include utilizatorul în toate grupurile din care este membru utilizatorul actual user ID: > pentru ZF "usebackq delims-""" Xi in ('dsget user ,' '' -membercf') J do dsmod group Xi -addmbr '^O^new^user^ Dacă doriți să eliminați simultan utilizatorul din toate grupurile , adăugați comutatorul -rmmbr la sfârșitul comenzii: > pentru ZF "usebackq delims-'"" Xi In ('dsget user " '' -roemberof') j do dsmod group Xi -addmbr " " -rmmbr " " Folosind un script VBScript Acest cod adaugă un utilizator "nou" la grupurile din care este membru utilizatorul "actual" ' -CONFIGURARE SCRIPT strCurrentUserDN - " " ' De exemplu: cn-j smi th,ou-Sales dc-ra encorp,dc=com strNewUserDN - " " ' De exemplu: cn-ra en,ou-Sales dc-ra encorp,dc=com" ' - CONFIGURARE SCRIPT Const ADS PROPERTY APPEND - set objCurrentUser = GetObject("LDAP:ZZ" & strNewUserDN ) set objNewUser - GetObject("LDAP:ZZ" & strNewUserDN ) la eroare reluați în continuare WScript Echo "Se transferă grupuri de la " & strCurrentUserDN & " la " & strNewUserDN pentru fiecare strGroupDN din objCurrentUser GetExCmemberOf") set objGroup - GetObjectCLDAP:ZZ" și strGroupDN) objGroup PutEx ADS PROPERTY APPEND "membru" Matrice (StrNewUserDN) objGroup SetInfo dacă Err atunci WScrlpt Echo "Eroare la adăugarea utilizatorului la grup: " & StrGroupDN el se WScrlpt Echo "Utilizator adăugat la grup: " & strG oupDN sfârşitul dacă Următorul Capitolul Utilizatori Un comentariu Personalul oricărei organizații se schimbă periodic, angajații primesc noi posturi și noi responsabilități Toate acestea sunt însoțite de modificări ale conturilor de utilizator, schimbarea apartenenței acestora la grupuri Dacă un utilizator ia locul altuia sau i se atribuie aceleași responsabilități, pentru a-l include în grupurile necesare, este suficient să urmați pașii descriși în această rețetă Rețineți că atributul memberOf, care definește apartenența utilizatorului la grupuri, conține numai numele acelor grupuri care aparțin aceluiași domeniu cu utilizatorul Grupurile rămase nu sunt specificate în acesta și pentru a obține o listă a acestora, trebuie să interogați catalogul global pentru toate obiectele de grup al căror atribut de membru specifică numele distinctiv al utilizatorului Vezi si Rețeta (Capitolul ) explică cum să includeți utilizatori în și să eliminați utilizatori din grupuri Stabilirea parolei utilizatorului Problemă Trebuie să setați o parolă pentru utilizatorul specificat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți clic dreapta pe numele de utilizator și selectați comanda Resetare parolă din meniul contextual care se deschide Introduceți și confirmați o nouă parolă Faceţi clic pe butonul OK Folosind interfața liniei de comandă Următoarea comandă modifică parola pentru utilizatorul Caracterul * după comutatorul -pwd indică faptul că comanda ar trebui să solicite o parolă Puteți introduce direct parola în schimb, dar aceasta nu este o soluție bună din punctul de vedere al Setarea unei parole de utilizator utilizând LDAP securitate, deoarece parola dvs poate fi văzută de alți utilizatori care se conectează la același computer > dsmod user -pwd * Folosind un script VBScript ■ Acest cod setează parola utilizatorului • CONFIGURARE SCRIPT - strUserDN = " " ' De exemplu: cn-jsmitn cn"Users dC"rallencorp dc-ccHn strNewPasswd -= "NewPasswd" ' TERMINAREA CONFIGURĂRII set objUser - GetObjectCLDAP://'' și strUserDN) objUser SetPassword(strNewPasswd) Wscript Echo "Setarea parolei pentru " și objUser GetC'cn") Un comentariu Parola utilizatorului este stocată în atributul unicodePwd, a cărui valoare nu poate fi schimbată direct - pentru a face acest lucru, trebuie să apelați metoda corespunzătoare care face parte din API-ul pe care îl utilizați În VBScript, puteți utiliza metoda lADsUser: :SetPassword pentru a obține parola și metoda lADsUser: :ChangePassword pentru a o schimba Pentru a apela pe acesta din urmă, trebuie să cunoașteți parola originală, care, în special, este folosită pentru a sprijini utilizatorul să introducă o nouă parolă Vezi si Rețeta arată cum să setați o parolă utilizând operațiunile LDAP încorporate, iar Rețeta arată cum să efectuați aceeași operațiune folosind protocolul Kerberos Vă recomandăm să faceți referire la MS KB (New Password Change and Conflict Resolution Functionality în Windows), MS KB (Descrierea protocoalelor de schimbare a parolei în Windows ), MSDN: !ADsUser::Set-Password și MSDN: IADsUser::ChangePassword Setarea unei parole de utilizator utilizând LDAP Problemă Trebuie să setați o parolă de utilizator utilizând operațiunile de protocol LDAP încorporate Soluţie În primul rând, trebuie să vă asigurați că domeniul Active Directory acceptă protocoale SSL / TLS Cum se face acest lucru este detaliat în Rețeta (Capitolul ) Capitolul Utilizatori Puteți edita apoi atributul unicodePwd al obiectului utilizator - printr-o conexiune SSL sau TLS utilizând operațiuni LDAP Valoarea atributului unicodePwd trebuie să fie un șir Unicode codificat Base , cuprins între ghilimele Pentru a afla cum să convertiți textul în această codificare, consultați Rețeta (Capitolul ) Un comentariu Valoarea atributului uni codePwd poate fi schimbată direct printr-o conexiune SSL sau TLS, dar nu poate fi citită peste aceasta Vezi si Rețeta (Capitolul ) vorbește despre codificarea Base , iar Rețeta (Capitolul ) vorbește despre configurarea protocoalelor SSL/TLS S-ar putea să fiți interesat de MS KB (Cum să setați parola unui utilizator cu Ldifde), MS KB (Descrierea protocoalelor de schimbare a parolei în Windows ), MS KB (CUM SE: Schimbați parola unui utilizator Windows prin LDAP) Setarea unei parole de utilizator folosind Kerberos Problemă Este necesară schimbarea parolei utilizatorului prin conectarea de pe un computer Unix la Active Directory utilizând protocolul Kerberos Soluţie Pe un computer pe care protocolul MIT Kerberos este instalat și configurat corect, schimbarea parolei unui anumit utilizator în Active Directory se realizează folosind următoarea comandă: $kinit Parola pentru jsmith@RALLENCORP COM: **** $kpasswd Parola pentru jsmith@RALLENCORP COM: **** Introduceți o nouă parolă: ****** Introduceți-l din nou: ****** Parola schimbată Un comentariu Pentru mai multe informații despre protocolul Kerberos, vezi Rețeta (Capitolul ) Vezi si Documente MS KB (Descrierea protocoalelor de schimbare a parolei în Windows ), RFC (Microsoft Windows Kerberos Change Password and Set Password Protocols) și IETF draft-ietf-cat-kerb-chg-password txt Împiedicați utilizatorul să schimbe parola Împiedicați utilizatorul să schimbe parola Problemă Doriți să împiedicați utilizatorul să-și schimbe parola Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceți clic pe fila Cont În grupul Opțiuni cont, bifați caseta de validare Utilizatorul nu poate schimba parola Faceţi clic pe butonul OK Folosind interfața liniei de comandă > dsmod user -canchpwd nr Folosind un script VBScript Acest cod împiedică utilizatorul să-și schimbe parola ' CONFIGURARE SCRIPT - strUserDN - " '' ' De exemplu: cn=raHen ou-Sales dc=rallencorp,dc=com ' TERMINAREA CONFIGURĂRII Const ACETYPE ACCESS DENIED OBJECT = Const ACEFLAG"OBJECT TYPE PRESENT - Const RIGHT DS CONTROL ACCESS =■ Const CHANGE PASSWDRD GUID = "{ab a - e T- ^ - -OOaa b}" set objUser - GetObjectCLDAP://" și strUserDN) set objSD - objUser GetC'ntSecurityDescriptor") set objDACL - objSD DiscretionaryAcl Adăugarea unui element de control al accesului de refuz (ACE) pentru setul de conturi Ezeyone objACE - CreateCbjectC'AccessControlEntry") objACE Trustee = "Eyegoyone" objACE AceFlags - ObjACE AceType - ACETYPE ACCESS DENIED OBJECT ObjACE FIags - ACEFLAG OBJECT TYPE PRESENT ObjACE ObjectType - CHANGE PASSWORO GUID objACE AccessMask - RIGHT DS CONTROL ACCESS objDACL AddAce objACE Capitolul Utilizatori - ' Adăugați un element de control al accesului (ACE) de tip deny pentru contul Seif set objACE - CreateObjectCAccessControlEntry") objACE Trustee = "Seif" objACE AceFlags - objACE AceType " ACETYPE ACCESS DENIED JECT objACE-FIags - ACEFLAG CBJECT TYPE PRESENT objACE ObjectType - CHANGE ?ASSWORD GUIO objACE AccessMask - RIGHT DS CONTROi ACCESS objDACL AddAce objACE objSD DiscretionaryAcl - objDACL objUser Put "nTSecurityDescrlptor'' objSD objUser SetInfo WScrlpt Echo "Activat nicio modificare a parolei pentru " & strUserDN Un comentariu Deși această operațiune este foarte ușor de efectuat folosind interfața cu utilizatorul, de fapt, după cum puteți vedea din scriptul VBScript de mai sus, nu este atât de simplă cum ar părea la prima vedere Pentru a împiedica un utilizator să-și schimbe parola, adăugați două elemente de tip deny la lista de control acces asociată cu obiectul utilizatorului său: unul pentru contul Escape și unul pentru contul Self Codul propus funcționează corect, dar nu verifică dacă lista de control acces conține elementele de adăugat Dacă doriți să scrieți un script mai robust, consultați MS KB , care explică cum este generat un ACL Vezi si Document MS CV (HOWTO: Utilizați Visual Basic și ADsSecurity dll pentru a comanda corect ACE într-un ACL) Schimbarea parolei utilizatorului la următoarea autentificare Problemă Doriți să spuneți Active Directory că utilizatorul trebuie să își schimbe parola data viitoare când se conectează Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide - În lista derulantă IP (V), selectați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceți clic pe fila Cont În grupul Opțiuni cont, bifați caseta de selectare Utilizatorul trebuie să schimbe parola la următoarea conectare Faceţi clic pe butonul OK Folosind interfața liniei de comandă > utilizator dsmod " " -mustchpwd da Folosind un script VBScript Acest cod setează opțiunea "Solicită schimbarea parolei la următoarea conectare" CONFIGURARE SCRIPT - strUserDN - " " ' De exemplu: cn^allen ou-Sales dc-rallencorp dc^om ' TERMINAREA CONFIGURĂRII set objUser = GetObjectCLDAP://" și strUserDN) objUser Pune "pwdLastSet" objUser SetInfo WScrlpt Echo "Utilizatorul trebuie să schimbe parola la următoarea conectare: " & strUserDN Un comentariu Când un utilizator își schimbă parola, atributul pwdLastSet al obiectului utilizator este actualizat cu data și ora curente Când un utilizator se conectează la un domeniu, aceste informații sunt validate în raport cu vârsta maximă a parolei determinată de politica de securitate a domeniului Dacă doriți ca utilizatorul să-și schimbe parola data viitoare când se conectează fără a aștepta expirarea acesteia, setați atributul pwdLastSet al obiectului utilizator la Atributul pwdLastSet al obiectului utilizator poate fi setat doar la două valori: și - Al doilea corespunde setării opțiunii Parola nu expiră niciodată pentru acest cont Eliminarea restricțiilor de expirare a parolei Problemă Este necesar să se elimine restricțiile privind expirarea parolei, astfel încât utilizatorul să o poată schimba în orice moment când are nevoie Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Users and Computers (Utilizatori și computere Active Directory) În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul Introduceți numele de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceţi clic pe fila (Cont) În grupul Opțiuni cont, bifați caseta de validare Parola nu expiră niciodată Faceţi clic pe butonul OK Folosind interfața liniei de comandă > dsmod user " " -pwdneverexpires da Folosind un script VBScript ' Acest cod setează opțiunea "Parola nu expiră niciodată" ' Codul funcției CalcBit este în Rețeta (Capitolul ) ' - CONFIGURARE SCRIPT strUserDN = " " ' De exemplu: cn-rallen ou=Sales dc=rallencorp dc-com ' TERMINAREA CONFIGURĂRII - intBit = strAttr - "userAccountControl" set objUser - GetObject!"LDAP://*' & strUserDN) intBitsOrig - objUser Get(strAttr) intBitsCalc - CalcBit(intBitsOrig, intBit TRUE) dacă intBitsOrig sau intBitsCalc atunci objUser Put strAttr intBitsCalc objUser SetInfo WScript Echo "Schimbat" & strAttr " din " & intBitsOrig " la " IntBitsCalc altfel WScript Echo "Nu a fost nevoie să se schimbe " strAttr " (" intBitsOrig )" se încheie dacă Un comentariu Setarea opțiunii Parola nu expiră niciodată pentru un anumit cont de utilizator înlocuiește setările corespunzătoare ale politicii de securitate a domeniului Pentru a vă asigura că parola unui utilizator nu expiră niciodată, atributul userAccountControl al obiectului său de utilizator trebuie setat la echivalentul în biți a lui (adică ) Vezi si Rețeta (Capitolul ) vă arată cum să modificați atributele marcajului de biți, iar Rețeta vă arată cum să setați valoarea atributului userAccountControl Căutați conturi de utilizator ale căror parole sunt pe cale să devină invalide Problemă Doriți să obțineți o listă de utilizatori ale căror parole vor expira după ceva timp Soluţie Folosind interfața liniei de comandă > utilizator dsquery -stalepwd Cu un script Perl #!perl # Codul găsește conturi de utilizator # ale căror parole sunt pe cale să expire # CONFIGURARE SCRIPT - # Domeniul și containerul sau domeniul și unitatea organizațională în care se va efectua căutarea Sdomain - ' '; shu Scont = "; # Pentru a vizualiza întregul domeniu, lăsați o linie goală # Pentru a vizualiza o parte dintr-un domeniu, setați cea corespunzătoare # cale relativă, de exemplu: cn=*Utilizatori # Numărul de zile de la ultima modificare a parolei acea zi în urmă - # De exemplu ; # TERMINARE CONFIGURARE folosiți strict; utilizați Win ::OLE; SWin ::OLE::Warn - ; utilizați Math iBigInt; # Convertiți numărul de secunde din variabila $day ago # la un întreg mare (Biglnt) pentru a compara cu valoarea atributului pwdLastSet $past secs ~ tiroe - * * *Sdays ago; su SintObj - Math::BigInt->new(Spast secs); SintObj - Math::BigInt->new(Sint bj->b(nul(' ')): my $past largeint = Math-:BigInt->new( $int bj->badddl ')) Spastjargeint-s/*[+-]//; # Conectați ADO my SconnObj - Win :: LE->new('ADODB Connection'); SconnObj->{Provider} - "ADsDSOObject"; # Setați următoarele două variabile dacă este necesară autentificarea # SconnObj->Properties->{'User ID'} = 'utilizator^'; # SconnObj->Properties-:>{'Parola'} - ' '; SconnObj->Deschide: scommObj •= Win ::OLE->new('ADODB Command'); SconnObj->{ActiveConnection} - SconnCbj; ScorrmObj->Propert es->f'Page Slze'} - ; # Definiți numele contextului implicit de denumire a domeniului care SrootDSE = Win ::OLE->GetObject("LDAP://$domăin/RootDSE"); acel SrootNC SrootDSE->Get(''defaultlam ngContext"); # Executați o interogare ADO și imprimați rezultatele Scont ■ dacă Scont și nu Scont / $/; irțy Squery = " ;'; Squery ,,(&(objectclass-user)"; Squery = "(categoria obiect-Persoană)"; Squery = "(iuseraccountcontrol: :- )": Interogare " "(pwdLastSet {CoCTnandText) - Query: SresObj - ScomniObj->Execute($query): die "Nu s-a putut interoga Sdomain: ",$Win ::OLE::LastError "\n" unlcss ref SresObj; prinț "\nUtilizatori care nu și-au setat parola în $days acum zile sau mai multAn"; totalul meu ■ : în timp ce (!(SresObj->EOF)) { print "\t" SresObj->Fields("di stingui shedName")->value,"\n": $total++; SresObj->MoveNext: } prinț "Total: Stotal\n"; Un comentariu Când un client Windows se conectează la Active Directory, expirarea parolei sale este verificată folosind atributul pwdLastSet de pe obiectul utilizator Dacă această perioadă a expirat, utilizatorului i se solicită să schimbe parola Într-un mediu Windows pur, procedura descrisă funcționează corect, dar atunci când un computer care rulează un alt sistem de operare încearcă să se conecteze la domeniul Active Directory (în special, un computer Unix care utilizează protocolul Kerberos pentru a securiza comunicațiile), precum și în cazuri în cazul în care sistemul are multe conturi pentru servicii și aplicații, este posibil ca schema de schimbare forțată a parolei să nu funcționeze Și chiar și într-un mediu Windows pur, pot apărea probleme de stocare în cache a conexiunii: atunci când un utilizator se conectează la un domeniu cu acreditări memorate în cache (dacă clientul nu poate contacta controlerul de domeniu), nu există nicio verificare a expirării parolei Găsirea utilizatorilor ale căror parole vor expira după o anumită perioadă de timp nu este deloc simplă Desigur, noua comandă de utilizator dsquery ne poate ajuta, permițându-ne să găsim utilizatori ale căror parole nu au fost modificate pentru un anumit număr de zile (comutatorul -stalepwd) od o zo i iuuxk conturi de utilizator Cu toate acestea, lista pe care o returnează nu va conține doar numele utilizatorilor ale căror parole sunt pe cale să expire, ci și cei care trebuie să își schimbe parolele data viitoare când se conectează Un script Perl vă permite să rezolvați mai precis acest tip de problemă Acest scenariu are două părți Primul pas este să calculați momentul de la care parolele sunt considerate "vechi" Atributul pwdLastSet este un atribut al obiectului utilizator care conține data și ora la care parola utilizatorului a fost setată ultima dată ca un întreg mare Să presupunem că astăzi este mai și doriți să găsiți conturile tuturor utilizatorilor care nu și-au schimbat parolele de cel puțin de zile În acest caz, trebuie să căutați o listă de obiecte utilizator al căror atribut pwdLastSet stochează date anterioare datei de mai Ar trebui spuse câteva cuvinte despre stocarea datelor și orelor ca un întreg mare În Active Directory, valorile datei și orei sunt reprezentate de numărul de intervale de ns care au trecut de la ianuarie Pentru a converti ora curentă într-un număr întreg mare pentru comparare cu valoarea stocată în Active Directory, trebuie să determinați câte secunde au trecut de la ianuarie , să înmulțiți acest număr cu și să adăugați la acesta un număr întreg care reprezintă timpul aproximativ exprimat ca un număr de intervale de de nanosecunde Este considerată aproximativă deoarece există o pierdere notabilă de precizie în operațiile aritmetice cu numere atât de mari NOTĂ - Scriptul este scris în Perl, nu în VBScript, pentru că acesta din urmă nu "tratează" bine numerele atât de mari Deci, după calcularea orei curente, este necesar să se determine momentul de la care parolele sunt considerate vechi în funcție de condiția dată Scriptul nostru ne permite să setăm numărul de zile care au trecut de la ultima modificare a parolei utilizatorilor În cele din urmă, odată ce obținem limita de timp, putem forma un filtru pentru interogarea ADO Prima parte a filtrului se va potrivi cu toate obiectele utilizator: Squery "(&(objectclass=user)": Interogație "(obiectcategory-Person)": Deoarece ne interesează doar utilizatorii ale căror conturi sunt activate, următoarea linie este adăugată la expresia filtrului (consultați Rețeta pentru detalii despre verificarea conturilor activate și dezactivate și a filtrelor pe biți) Squery = "(luseraccountcontrol: :- )"; Ceea ce urmează este cea mai importantă parte a filtrului, în care ora ultimei modificări a parolei, pwdLastSet, este comparată cu valoarea calculată: Squery = "(pwdLastSet " ' De exemplu: cn-rallen ou-Sales dc=rallencorp dc-com intBit - ' De exemplu: boolEnable - ' De exemplu: TRUE ' - TERMINAREA CONFIGURĂRII - strAttr="userAccountControl" set objUser - GetObjectCLDAP://" și strUserDN) IntBitsOrig - objUser Get(strAttr) IntBitsCalc - CalcBit(intBitsOrig intBit boolEnable) dacă intBitsOrig o IntBitsCalc atunci objUser Put strAttr IntBitsCalc objUser SetInfo WScript Echo "Schimbat " & strAttr & " din " & IntBitsOrig & " în " & IntBitsCalc el se WScript Echo "Nu a fost nevoie să se schimbe " & strAttr &"("& intBitsOrig & ")" end if Un comentariu Atributul userAccountControl al obiectelor utilizator și computer este un set de proprietăți de cont diferite, chiar nu întotdeauna legate, reprezentate ca indicatori de biți Dacă trebuie să lucrați des cu obiectele utilizator, studiați cu atenție structura acestuia Consultați Rețeta (Capitolul ) pentru detalii despre cum să căutați obiecte pe baza valorilor steagurilor individuale folosind un filtru pe biți și Rețeta (Capitolul ) pentru cum să schimbați valorile steagurilor individuale Pentru a modifica valorile unui subset de proprietăți stocate în atributul userAccountControl, utilizați comanda utilizator dsmod, ai cărei parametri sunt descriși mai sus (a se vedea tabelul ) O listă completă a acestor proprietăți și constantele lor corespunzătoare din enumerarea ADS USER FLAG ENUM este dată în tabel Tabelul Valori constante din enumerarea ADSJJSER FLAG ENUM Nume Valoare Descriere ADS UF SCRIPT Scriptul de conectare este în curs de executare ads uf accountdisable Cont dezactivat continuat^ Capitolul b utilizatorii Tabelul (continuare) Nume Valoare Descriere ADS UF HOMEDIR REQU RED Necesită un director principal ADS UF LOCKGUT Contul este blocat ads uf passwd notreqd Nu este necesară parola ADS UF PASSWD CANT CHANGE Indicator de doar citire care indică dacă utilizatorul își poate schimba parola ads ufjncrypted text password ALLOWED I Stocați parola folosind criptarea reversibilă ADS UF TEMP DUPL CATE ACCOUNT Contul acordă acces la acest domeniu, dar nu și la domeniile care au încredere în el ads uf normal account Cont activat ADS UF INTERDOMAIN TRUST ACCOUNT Permisiune pentru domeniul actual care are încredere în alte domenii de a avea încredere în acest cont ADS UF WORKSTATION TRUST ACCOUMT Cont de computer activat AOSJJF SERVER TRUST ACCOUNT Cont de computer pentru controlerul de domeniu de rezervă ADSJJF DONT EXPIRE PASSWD Parola nu expiră ADS UF MNS LOGON ACCOUNT cont MNS ADS UF SMARTCARD REQUIRED Conectare cu cardul inteligent ADS UF TRUSTED FOR DELEGATION Delegare Kerberos permisă ADS llF NOT DELEGATED Delegarea Kerberos nu este permisă chiar dacă setarea ADS JJF TRUSTED FOR DEL ETAT N este activată ADS UF IISE DES KEY ONLY Este necesară criptarea cheii DES ADS UF DONT REQiJIRE PREA'JTH Nc necesită pre-autentificarea contului Kerberos ADSJJF PASSWORD EXPIRED Indicator de numai citire care indică faptul că parola contului a expirat Folosit numai cu furnizorul WinNT ADS UF TRUSTED TO AUTHENTICATE FOR DELEGATION Contul poate fi delegat Setarea unei date de expirare a contului Vezi si Rețeta (Capitolul ) descrie modul în care sunt setate steagurile de biți De asemenea, citiți documentul MSDN: ADS USER FLAG ENUM Setarea unei date de expirare a contului Problemă Trebuie să setați o dată de expirare pentru cont Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceți clic pe fila Cont În zona Expiră cont, selectați butonul radio End Specificați data după care contul va expira Faceţi clic pe butonul OK Folosind interfața liniei de comandă Parametrul -acctexpires este setat la o valoare pozitivă care specifică numărul de zile după care contul va expira, fie pentru ca contul să expire până la sfârșitul zilei, fie "niciodată" pentru ca contul să expire pe termen nelimitat > utilizator dsmod "UserID>'' -acctexpires Folosind un script VBScript Acest cod stabilește data până la care contul va fi valabil ' - CONFIGURARE SCRIPT - strExpireDate - " ' ' De exemplu: " / / " strUserDN - "UserID>" ' De exemplu: cn-rallen ou-Sales dc-rallencorp dc-com ' - TERMINAREA CONFIGURĂRII set objUser = GetObject("LDAP://" și strUserDN) objUser AccountExpirationDate = strExpireDate lavă utilizatorii objUser SetInfo WScrlpt Echo "Set user" & strUserDN & " să expire pe " & strExpireDate ' Următoarele două rânduri elimină limita de expirare a contului * objUser Pune "accountExpires" DESPRE "objUser SetInfo Un comentariu Active Directory vă permite să setați o dată de expirare a contului, care este data după care acesta devine indisponibil Data specificată este stocată în atributul accountExpires al obiectului utilizator ca un întreg mare Setarea acestui atribut la face ca contul să expire pe termen nelimitat Rețineți că "sensul" valorii pentru atributul accountExpi res este diferit de "sensul" valorii pentru parametrul -accexpi res al comenzii utilizator dsmod: acesta din urmă setează contul să expire până la sfârșitul zi De ce sunt diferite, te întrebi? Este un mister Vezi si Documente MS KB (CUM PENTRU: Limitarea timpului de conectare a utilizatorului într-un domeniu în Windows ) și MSDN: expirarea contului Căutați conturi care sunt pe cale să expire Problemă Doriți să găsiți conturi de utilizator care vor expira după o anumită perioadă de timp Soluţie Cu un script Perl # Acest cod găsește conturi # care va expira în curând # - CONFIGURARE SCRIPT # Domeniu și container sau OU pentru a căuta sdomain - " ": " De exemplu: amer rallencorp com shu Scont - "; # Pentru a vizualiza întregul domeniu, lăsați o linie goală # Pentru a vizualiza o parte dintr-un domeniu, setați cea corespunzătoare # cale relativă, de exemplu: cn-Users # Numărul de săptămâni după care contul devine indisponibil tu $weeks acum = : # TERMINAREA CONFIGURĂRII folosiți strict; utilizați Win :: LE; SWin ::OLE::Warn- - utilizați Math::BigInt; b zb i Căutați conturi care sunt pe cale să expire # Convertiți valoarea timpului # la un număr întreg mare (Biglnt) și comparați-l cu atributul accountExpires shu $future secs - timp + * * * *$săptămâni în urmă: schu SintObj - Math::BigInt->new(Sfuture secs): SintObj - Math::BigInt->new(SintObj->bmul(' ')); sfuture largeint - Math;:BigInt->new(SintObj->bad(' ')): $future largeint - s/*[+-]//: # Convertiți ora curentă într-un număr întreg mare SintObj - Math:;Biglnt->new( time ); SintObj - Math::Biglnt->new(SintObj->bmul(' ')): my Scurrent largeint- Math:;BigInt->new($intObj->bado(' ')): Scurrent largeint =~ s/*[+-]//; # Stabiliți o conexiune ADO su SconnObj - W n :: LE->new('AD DB Connection ): Sconn bj->{Provider} - "AOsDSOObject": # Setați următoarele două dacă trebuie să vă autentificați # SconnObj->Properties->{'User ID'} - ' '; # SconnObj->Propert es->{'Parola'} - ' '- SconnObj->Deschide: ScommObj-ul meu " W n : : LE->new('ADODB CCmmand'): Scorm bj->{Act veConnection} - SconnObj: ScommObj->Properties->{'Page Size'} e ; # Găsirea numelui implicit fără context de denumire a domeniului srootDSE - Win :: LE->Get bject(',LDAP://$doma n/Root SE"); nu SrootNC - $rootDSE-*Get("defaultNamingContext"); # Executați o interogare ADO și imprimați rezultatele Scont f Scont și nu Scont - / S/; interogare - " :": Interogați "(&(clasa obiect "utilizator)"; Interogați "(categoria obiect-Persoană)"; Interogarea "('useraccountcontrol: :- )": Interogare - "(accountExpires *=Scurrent largeint)": Interogarea "(!accountExpires" ));": Interogare = ''cn distinguishedName;'': Interogare ■ "subtree": ScommObj->{CommandText} - Interogare: my SresObj - ScommObj->Execute(Squery): die "Nu s-a putut interoga Sdomain: " SWin ::OLE::LastError,"\n" cu excepția cazului în care ref SresObj: prinț "\nlsers al căror cont va expira în câteva săptămâni sau mai puțin An": stu Stotal - : în timp ce (!(SresObj->EOF)) { prinț "\t" SresObj->Fields("distinguishedName")->value "\n"; Total++: SresObj->MoveNext: } prinț "Total: Stotal\n"; Capitolul Utilizatori Un comentariu Codul de mai sus pentru a găsi obiecte utilizator care vor expira după o anumită perioadă de timp este foarte asemănător cu codul din Rețeta - , care a căutat obiecte utilizator care expiră parole Principala sa diferență este că atributul asso-untExpires este utilizat atunci când se selectează obiecte dintr-o interogare, mai degrabă decât pwdLastSet De asemenea, valoarea timpului calculată se referă la viitor, nu la trecut Acum să ne uităm la filtrul folosit în interogare în părți În primul rând, obiectele utilizator sunt selectate pentru a reprezenta conturile activate: Interogare - "(&(objectclass=user)"; Interogare - "(categoria obiect-Persoană)": Interogarea "(iuseraccountcontrol: := )"; Dintre acestea, sunt selectate conturi care vor expira înainte de data specificată (linia întâi), dar care nu au expirat încă (linia a doua): Interogare - H(accountExpires =Scurrent largeint)": În cele din urmă, conturile care nu au o dată de expirare sunt excluse: Interogare - "('accountExpires-O));"; Vezi si Rețeta intră în detalii despre operațiunile cu numere întregi mari, iar Rețeta vorbește despre expirarea contului Vă recomandăm să citiți MS KB (CUM SE: Limitați timpul de conectare a utilizatorului într-un domeniu în Windows ) Stabilirea când un utilizator sa conectat ultima dată Problemă Este necesar să se determine ora la care utilizatorul sa conectat ultima dată la sistem Soluția Utilizarea interfeței grafice cu utilizatorul Prin instalarea extensiei Acctlnfo dll pentru snap-in-ul Active Directory Users and Computers, puteți vedea întotdeauna data și ora la care utilizatorul sa conectat ultima dată la sistem Această rețetă poate fi utilizată numai dacă nivelul funcțional al domeniului este Windows Server Stabilirea când un utilizator sa conectat ultima dată Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceți clic pe fila Informații suplimentare despre cont Informațiile necesare vor fi furnizate în câmpul Last-Logon-Timestamp NOTĂ - -: Extensia AcctInfo dll poate fi descărcată de pe site-ul Microsoft la această adresă: http://miaosoft com/downloads/detalls aspx?FamllyId= AF E C- F - E - -B ADDE B E&dlsplaylang=en Folosind un script VBScript ' Acest cod tipărește ultima oră de conectare a utilizatorului ' - CONFIGURARE SCRIPT - strUserDN - " " ' De exemplu: cn-rallen ou-Sales dc-ral encorp dc-com ' TERMINAREA CONFIGURĂRII set objUser - GetObjectCLDAP://" și strUserDN) set objLogon - objUser Get("lastLogonTimestamp") intLogonTime - objLogon HighPart * ( * ) + objLogon LowPart intLogonTime - IntLogonTime / ( * ) intLogonTime - intLogonTime / Wscript Echo "Aproximativ marca temporală a ultimei conectări: " & intLogonTime + # / / # Un comentariu Lucrul într-un mediu Microsoft NOS (Network Operating Systern), determinarea când un utilizator s-a conectat ultima dată nu este ușor În Windows NT, poate fi interogat de la controlerul de domeniu principal sau de rezervă, dar aceasta va fi ultima dată când utilizatorul s-a conectat la acest controler și pentru a afla când s-a conectat ultima dată la oricare dintre controlerele de domeniu din rețea, trebuie să trebuie să sondați toți controlorii Într-o rețea mare, acest lucru va dura mult timp Dar în Windows situația s-a îmbunătățit oarecum A introdus atributul lastLogon, care stochează data și ora ultimei autentificare a utilizatorului în sistem, dar acest atribut, din păcate, nu este replicat Prin urmare, din nou, trebuie să interogați toți controlorii de domeniu Windows Server a remediat problema prin adăugarea unui nou atribut lastLogonTimestamp la schemă ca parte a obiectului utilizator Este similar cu atributul lastLogon, dar are două diferențe importante În primul rând, este replicat, adică după ce un utilizator se înregistrează pe orice controler de domeniu, data și ora înregistrării sale sunt copiate în atributul obiectului utilizator corespunzător pe toate controlerele de domeniu actuale În al doilea rând, pentru a preveni creșterea traficului de rețea atunci când utilizatorii se conectează și se deconectează frecvent, atributul lastLogonTimestamp este actualizat numai dacă ultima conexiune a utilizatorului Capitolul Utilizatori a fost înregistrat în urmă cu o săptămână, deci poate determina doar data și ora conexiunii cu o precizie de până la o săptămână Această precizie este de obicei suficientă, deoarece majoritatea administratorilor interogează valorile atributului lastLogonTimestamp pentru a identifica utilizatorii care nu s-au conectat de mai mult de o lună Vezi si Rețeta vă spune cum să găsiți conturi de utilizator care nu s-au conectat pentru o anumită perioadă de timp Căutați conturi de utilizator care nu s-au autentificat pentru o anumită perioadă de timp Problemă Doriți să găsiți conturi de utilizator care nu s-au conectat la sistem pentru o anumită perioadă de timp Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Users and Computers (Utilizatori și computere Active Directory) În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide Selectați Common Querles din lista Find Specificați numărul de zile din lista derulantă Days si nse last Iodop (Numărul de zile de la ultima conectare) Faceți clic pe butonul Găsiți Folosind interfața liniei de comandă > dsquery user -inactive Cu un script Perl # Acest cod găsește conturi de utilizator # nu a fost autentificat în timpul specificat # CONFIGURARE SCRIPT - # Domeniu și container sau OU de căutat tu Sdomain - ' '; # De exemplu amer ral encorp fagure scont ° 'cn=Utilizatori'; # Pentru a vizualiza întregul domeniu, setați un șir gol # Pentru a vizualiza o parte dintr-un domeniu, setați cea corespunzătoare # cale relativă, de exemplu: cn-Users Această rețetă poate fi utilizată numai dacă nivelul funcțional al domeniului este Windows Server Căutați conturi de utilizator care nu s-au conectat de mult timp # Numărul de săptămâni în care anumiți utilizatori nu s-au conectat $weeks ago = ; # De exemplu: I TERMINAREA CONFIGURĂRII - folosiți strict: utilizați W n : OLE; SW n : LE:-Avertisment - ; folosește Math::BigInt: # Convertiți numărul de secunde stocat în variabila $day ago în # la un număr întreg mare (Biglnt) pentru a compara cu valoarea atributului lastLogonTimestamp shu Spast secs = tine - * * * *$weeks ago; stu SintObj - Math: Biglnt->new($past secs): SintObj - Math::BigInt->new($intObj->bmul(' ')); my Spast largeint - Matematică: BigInt->new( SintObj->badd('H ')); Spast largeint - s/*[+-]/Z; Conexiune # AD nu SconnObj - Win :: LE->new('ADODB Connection'); $conn bj->{Provider} ■ "ADsDSOObject": # Setați valorile următoarelor două variabile dacă este necesară autentificarea # SconnObj->Properties->{'User '} e ' ': # SconnObj->Propert es->{'Parolă'} " ' '- SconnObj-> rep; scommObj - Win ::OLE->new('ADODB Command'): ScommObj->{ActiveConnection} - SconnObj; SconwObj->Propert es->{'Page Size'} • ; # Definiți numele contextului implicit de denumire a domeniului nr schu SrootDSE - Win ::OLE->GetObject("LDAP:/Z$domain/RootDSE"); schu SrootNC - $rootDSE-*GetCdefaultNamingContext"): # Executați o interogare ADO și imprimați rezultatele Scont dacă Scont și nu Scont - /,$/; interogare - " {CommandText} - Interogare: su SresObj = ScommObj->Execute(Squery); die "Nu s-a putut interoga Sdomain ",$Win : OLE::LastError,"\n" cu excepția cazului în care ref SresObj; prinț "\nUtilizatori care au fost inactivi de $weeks acum săptămâni sau mai mult:\n"; shu Stotal - ; în timp ce (!(SresObj->EOF)) { my Sen = SresObj->F elds( )->value prinț ''\t",$resObj->Fields("distinguishedName")->value "\n''; $total++; SresObj->MoveNext; } prinț "Total: $total\n"; Capitolul Utilizatori Un comentariu După cum se explică în explicația pentru Rețeta , în Windows Server , noul atribut lastLogonTimestamp de pe obiectul utilizator conține data aproximativă la care utilizatorul sa conectat ultima dată la sistem Folosim această valoare pentru a determina ce utilizatori nu s-au conectat la sistem pentru numărul specificat de săptămâni În Windows , a face aceeași muncă ar trebui să interogheze fiecare controler de domeniu dintr-un anumit domeniu Soluțiile GUI și linia de comandă sunt simple, dar scripturile Perl sunt mai complexe Este similar cu scenariile din rețetele și Vezi si Rețeta se ocupă de lucrul cu valorile datei și orei stocate ca numere întregi mari, în timp ce Rețeta arată cum să se determine când un utilizator s-a conectat ultima dată la sistem Setarea opțiunilor profilului utilizatorului Problemă Sunt necesare una sau mai multe setări de profil de utilizator Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În lista derulantă Іп (В), specificați domeniul căruia îi aparține utilizatorul care vă interesează Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum În fereastra cu rezultatele căutării, faceți dublu clic pe numele de utilizator Faceți clic pe fila Profit Setați parametrii de profil necesari Faceţi clic pe butonul OK Folosind interfața liniei de comandă * utilizator dsmod " " -loscr -profite -hindigJ -hmdrv b z Emit o listă de obiecte deținute de utilizatorul specificat cămin de vizitare Folosind un script VBScript ' Acest cod setează valorile atributelor ' reprezentând setările profilului utilizatorului strUserDN - " " ' De exemplu: cn=jsmith cn-Users dc-rallencorp,dc-com set objUser = GetObjectCLDAP://" & strUserDN) objUser Put "homeDirectory", "WfileserverV & objUser GetC'sAMAccountName") objUser Put "homeDrive" "z:" objUser Put "profilePath", "WfileserverV & objUser Get("sAMAccountName") & "\profil" objUser Pune "scriptPath" "login vbs" objUser SetInfo Wscript Echo "Informații de profil pentru " & objUser Get("sAMAccountName") și "actualizate" Un comentariu Setările profilului utilizatorului sunt reprezentate în Active Directory prin patru atribute ale obiectului utilizator: o cale UNC homeDirectory către directorul home; Despre homeDrive - Numele unității (z:) atribuit directorului principal al utilizatorului; O profilePath - cale UNC către profil; Despre seri ptPath este calea către scriptul de conectare Înainte de a scrie un nume de director în atributul homeDirectory, asigurați-vă că directorul există deja Un exemplu de creare a directoarelor de acasă ale utilizatorilor este dat în MS KB Vezi si Documente MS KB (Cum se creează partajări de utilizator pentru toți utilizatorii dintr-un domeniu cu ADSI), MS KB (Căile pentru directorul de note cu scripturi necesită existența folderelor) și MS KB (CUM PENTRU: Atribuiți un director de note unui utilizator) Obținerea unei liste de obiecte deținute de un utilizator specificat Problemă Este necesar să obțineți o listă de obiecte deținute de utilizatorul specificat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă numele contextului de denumire pe care doriți să-l vizualizați nu este afișat, faceți clic dreapta pe elementul ADSI Edit din dreapta capitolul utilizatori panoul și în meniul contextual care se deschide, selectați comanda Conectare la Apoi specificați în ce context de denumire - container sau OU - căutați obiectul Dacă trebuie să introduceți un nume de utilizator și o parolă diferite, faceți clic pe butonul Avansat În panoul din stânga, deschideți containerul sau unitatea organizațională căreia îi aparține utilizatorul care vă interesează Apoi faceți clic dreapta pe numele utilizatorului și selectați comanda Properties din meniul contextual care se deschide Lista obiectelor deținute de acest utilizator va fi listată în atributul managedObjects Folosind interfața liniei de comandă > enumprop /ATTR:managedObjects "\ [)#:// " Folosind un script VBScript Acest cod listează obiectele deținute de utilizatorul specificat - CONFIGURARE SCRIPT - strUserDN - " " ' De exemplu: cn-jsmith cn^Jsers dc-rallencorp dc-com ' - TERMINAREA CONFIGURĂRII - la eroare reveniți în continuare set objUser = GetObjectCLDAP://" și strUserDN) Wscript Echo objUser GetCcn") și "Obiectele gestionate:" colObjects - objUser GetEx("managedObjects") dacă Err Number - - atunci Wscript Echo "niciunul" el se pentru fiecare strObjectDN din colObjects Wscript Echo "" și strObjectDN Următorul sfârşitul dacă Un comentariu Atributul managedObjects este legat de atributul managedBy găsit pe unele obiecte Active Directory, cum ar fi computer și grup Setarea atributului managedBy este cea mai simplă modalitate de a specifica proprietarul unui obiect Dacă setați acest atribut, atributul managedObjects al obiectului utilizator va fi setat la numele obiectului deținut de utilizator Cu alte cuvinte, atributul managedObjects al obiectului utilizator conține numele acelor obiecte care au numele acestui obiect utilizator în atributul managedBy Modificarea numelui afișat al utilizatorului Problemă Trebuie să modificați numele afișat al utilizatorului generat atunci când creați un nou obiect utilizator utilizând snap-in-ul Utilizatori și computere Active Directory L modificarea numelui afișat al utilizatorului Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Apoi, în secțiunea de configurare, deschideți containerul DisplaySpecifiers, apoi deschideți containerul CM~ (de exemplu, engleza americană este ) Faceți dublu clic pe elementul cn=user-Display Editați valoarea atributului createDialog la o specificație diferită pentru numele afișat (de exemplu: X , ^ ) Faceţi clic pe butonul OK Folosind un script VBScript ' Codul schimbă numele afișat al utilizatorului • - CONFIGURARE SCRIPT strNewDefault - "X X " strForestName " " " ' De exemplu: rallencorp com ' - TERMINAREA CONFIGURĂRII - Setați objRootDSE - GetObjectCLDAP://" & strForestName & "/RootDSE") Set objDIspSpec - GetObject("LDAP://cn"=User-Display cn= " & "cn=DisplaySpecifiers " obj RootDSE Get("Conf gurat i onNamingContext")) objDIspSpec Put "createDialog" strNewDefault obj DlspSpec SetInfo WScrlpt Echo "Noul implicit pentru naroe dlsplay al utilizatorului a fost setat la: " & strNewDefault Un comentariu Când creați un nou obiect utilizator utilizând snap-in-ul Active Directory Users and Computers, când introduceți valori în câmpurile Firet Name (Nume), Inițiale (inițiale) și Nume (Nume), câmpul Nume complet este completat automat cu numele) Pentru comoditate, parametrii acestui snap-in pot fi modificați astfel încât să formeze un nume complet calificat diferit Pentru a face acest lucru, trebuie să editați obiectul User-Di sploy, care are un nume distinctiv cn-user-Display cn= cn=DisplaySpecifiers cn*Configurare În rândul de mai sus, ar trebui înlocuit cu codul de limbă al limbii utilizate, iar cu numele distinct al domeniului rădăcină a pădurii Setați valoarea atributului createDialog pe acest obiect Locurile pentru înlocuirea valorilor atributelor într-o proprietate dată sunt notate cu % , unde este numele atributului De exemplu, dacă doriți ca numele complet implicit să fie format în formatul "Nume Prenume Patronimic" setați următoarea valoare £ X Vezi si Document MS KB (XADM: Cum se schimbă numele afișate ale utilizatorilor Active Directory) Creați un sufix UPN pentru o pădure Problemă UPN-urile de cont de utilizator (Nume principal de utilizator) trebuie să includă un sufix, altul decât sufixul implicit pentru pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Domain and Trusts În panoul din stânga, faceți clic dreapta pe intrarea Active Directory Domain and Trusts și selectați Properties din meniul contextual care se deschide În câmpul Sufixe UPN alternative, introduceți un nume care să servească drept sufix opțional Faceți mai întâi clic pe butonul Adăugare, apoi pe butonul OK Folosind un script VBScript Acest cod adaugă un nou sufix de nume UPN ' - CONFIGURARE SCRIPT - strNewSuffix - " " ' De exemplu: othercorp com strDomain = "ONS-rome name>" ' De exemplu: rallencorp com ' - TERMINAREA CONFIGURĂRII set objRootDSE - GetObjectCLDAP://" & strDomain & "/RootDSE") set objPartitions - GetObject("LDAP://cn-Part tions " & objRootDSE Get("Conf gurati onNami ngContext")) objPartitions PutEx ADS PROPERTY APPEND "uPNSUfixe" Array(strNewSuffix) objPartitions SetInfo Un comentariu UPN este folosit pentru autentificare și are o structură clară similară cu cea a unei adrese de e-mail Când se conectează folosindu-l, utilizatorul nu trebuie să cunoască numele domeniului căruia îi aparține contul Dacă doriți ca UPN-urile să se potrivească cu adresele de e-mail ale utilizatorilor, dar să aibă totuși numele de domeniu rădăcină de pădure (de exemplu: ad rallen- Creați un sufix UPN pentru o pădure corp com) este diferit de numele de domeniu găsit în adresele de e-mail (de exemplu: rallencorp com), vă recomandăm să definiți un sufix UPN opțional Către o soluție VBScript Sufixele UPN sunt stocate în atributul compus uPNSuffixes al containerului Partiții din secțiunea de configurare Rețineți că acest atribut nu conține un sufix implicit Vezi si Documente MS KB (Utilizatorii se pot conecta utilizând numele de utilizator sau numele principal de utilizator), MS KB (CUM SE: Adăugați sufixele UPN într-o pădure) și MS KB (CUM Utilizați ADSI pentru a enumera sufixele UPN care sunt definite în Director activ) Grupuri Introducere Conceptul de grup, adică un set numit de obiecte, este folosit în multe sisteme În special, este tipic pentru sistemele de securitate, în care grupurile combină utilizatori cărora li se atribuie aceleași permisiuni sau drepturi Cu sprijinul acestui concept, procesul de acordare a permisiunilor utilizatorilor este mult simplificat, deoarece este mult mai ușor să le atribuiți simultan întregului grup decât fiecărui utilizator în parte Grupurile Active Directory sunt structuri flexibile care pot conține aproape orice tip de obiect și sunt utilizate pentru o varietate de scopuri, inclusiv controlul accesului utilizatorilor la resurse și definirea filtrelor atunci când se aplică politici de grup De asemenea, puteți utiliza grupurile Active Directory ca liste de distribuție de e-mail Fiecare grup are un domeniu de aplicare specific și este unul de două tipuri: securitate sau distribuție Grupurile de securitate sunt folosite pentru a restricționa accesul la resurse, în timp ce grupurile de distribuție sunt folosite pur și simplu ca mecanism de grupare a obiectelor Domeniul de aplicare al unui grup poate fi global, universal sau local de domeniu Stabilește în ce parte a pădurii sunt situate obiectele incluse în grup și în ce parte a pădurii grupul este folosit în listele de control acces Membrii grupurilor de domenii universale și locale pot aparține oricărui domeniu din pădure, dar permisiunile sunt de obicei acordate primului în orice domeniu din pădure, iar celui din urmă numai domeniului local Grupurile globale includ utilizatori din același domeniu ca și grupul, dar li se pot acorda permisiuni în orice domeniu din pădure Anatomia unui obiect de grup Orice grup din Active Directory este reprezentat de un obiect de grup Lista celor mai importante atribute ale acestui obiect este dată în tabel Tabelul atributele obiectului grupului Descrierea atributului SP Numele distinctiv relativ al obiectului grupului createTi'roestamp Data și ora la care a fost creat obiectul Creați un grup Descrierea atributului description groupType O descriere text a grupului Un set de steaguri care definesc domeniul și tipul grupului Vezi și rețeta info primaryGroupToken Informații suplimentare despre grup RID-ul local al grupului Acesta corespunde valorii atributului primaryGroupID al obiectelor utilizator pentru care acest grup este principalul managedBy Numele relativ al utilizatorului sau al grupului care este proprietarul acestui grup managedObjects Listă de nume distinctive ale obiectelor de grup al căror atribut managedBy specifică acest grup membru Lista numelor distincte ale membrilor grupului memberOf Lista numelor distincte ale grupurilor din care este membru acest grup modifyTimestamp sAMAccountName Data și ora la care grupul a fost modificat ultima dată Numele contului SAM pentru acest grup De obicei, aceeași cu valoarea atributului sp Adresa URL a paginii de pornire a grupului wWWHomePage Creați un grup Problemă Trebuie să creați un grup nou în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, extindeți containerul părinte al grupului pe care îl creați, faceți clic dreapta pe el și selectați Nou > Grup din meniul contextual care se deschide Introduceți un nume pentru grup, selectați domeniul și tipul acestuia Faceţi clic pe butonul OK Capitolul , Grupuri Folosind interfața liniei de comandă În comanda de mai jos, înlocuiți cu numele distinctiv al grupului pe care îl creați, cu una dintre cele trei litere: (domeniu local), g (global) sau și (universal) și după - secgroup switch introduceți da dacă creați un grup de securitate sau altfel De asemenea, este recomandat să introduceți o descriere a grupului (key -dese) > dsadd grup " " -scope -secgrp yes|nu -dese " '' Folosind un script VBScript ' Următorul cod creează un grup de securitate global CONFIGURARE SCRIPT strGroupParentDN - " strGroupName - " " strGroupDescr - " " • - TERMINAREA CONFIGURĂRII - - ' Napriner ou-Groups dc-ra encorp dc-com ' Redirecționează: ExecAdminsSales * De exemplu: grupul Administratori executivi pentru vânzări ' Constante preluate de la ADS GROl)P TYPE ENUM Const ADS GROUP TYPE DOMAIN LOCAL GROUP - Const ADS GROUP TYPE GLOBAL GROUP - Const ADS GROUP TYPEj-OCAL GROUP - Const ADS GROUP TYPE SECURITY ENABLED - - Const ADS GROUP TYPE UNIVERSAL GROUP - set objOU - GetObjectCLDAP://" și strGroupParentDN) set objGroup - objDomain Create("group" "cn-" strGroupName) objGroup Put "groupType" ADS GROUP TYPE GLOBAL GROUP Sau ADS GROUP TYPE SECURITY ENABLED objOU Pune "descriere" strGroupDescr objOU SetInfo Un comentariu Fiecare dintre soluțiile de mai sus creează un grup fără membri Consultați Rețeta pentru cum să adăugați membri noi la un grup și să eliminați membrii existenți Atributul groupType conține un set de steaguri care definesc domeniul și tipul grupului Valorile acestor steaguri sunt specificate în enumerarea ADS GROUP TYPE ENUM Consultați Rețeta pentru mai multe informații despre cum să setați domeniul de aplicare și tipul de grup Vezi si Rețeta - este despre adăugarea și eliminarea membrilor grupului, iar Rețeta - este despre definirea domeniului și tipului acestuia Vă recomandăm să examinați MS KB (Tipul de grup și utilizarea domeniului de aplicare în Windows), MS KB (Gestionarea grupurilor cu ADSI în Windows ), MS KB (CUM SE: Gestionați grupurile în Active Directory în Windows ) și MSDN: ADS GROUP TYPE ENUM-ENUM Vizualizarea unei liste de membri direcți ai unui grup Vizualizarea unei liste de membri direcți ai unui grup Problemă Doriți să vedeți o listă de membri direcți ai unui grup Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computers în panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului căruia îi aparține grupul care vă interesează și selectați comanda Find din meniul contextual care se deschide Introduceți un nume pentru grup și faceți clic pe butonul Găsiți acum În panoul cu rezultatele căutării, faceți dublu clic pe numele grupului Deschideți fila Membri Folosind interfața liniei de comandă > dsget grup " " -membri Folosind un script VBScript Acest cod listează membrii direcți ai grupului dat ' CONFIGURARE SCRIPT - strGroupDN = " " ' De exemplu: cn-SalesGroup ou-Groups dc=raHencorp dc-com ' TERMINAREA CONFIGURĂRII set objGroup ° GetObject ("LDAP://" & strGroupDN) Wscript Echo "Membrii " & objGroup Name & pentru fiecare objMember din objGroup Members Wscript Echo objMenfcer Nume în continuare Un comentariu Atributul de membru al obiectului grup conține numele distinctive ale membrilor imediati ai grupului Prin utilizarea acestui concept, ne referim la obiecte adăugate direct unui grup (dar nu obiecte incluse în grupurile imbricate ale acestuia) Vezi si Rețeta arată cum să vizualizați o listă de membri indirecti ai grupului Capitolul Grupuri Vizualizarea unei liste de membri indirecti ai unui grup Problemă Doriți să vedeți o listă de membri indirecti ai grupului Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computers în panoul din stânga, selectați Connectto Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului căruia îi aparține grupul care vă interesează și selectați comanda Find din meniul contextual care se deschide Introduceți un nume de grup și faceți clic pe butonul Găsiți acum Faceți dublu clic pe numele grupului în panoul cu rezultatele căutării Deschideți fila Membri Deschideți fereastra de proprietăți pentru fiecare membru al grupului unul câte unul făcând dublu clic pe numele acestuia, iar în ea - fila Membri (Membrii grupului) Folosind interfața liniei de comandă > grupul dsget " " -membri -expand Folosind un script VBScript Acest cod tipărește o listă de membri indirecti ai grupului ' CONFIGURARE SCRIPT - strGroupDN - ', " ' De exemplu: cn-SalesGroup ou-Groups dc=rallencorp,dc=com ' TERMINAREA CONFIGURĂRII strSpaces - " " set dicSeenGroupMember - CreateObjectC'Scripting Dictionary") Wscript Echo "Membri ai " & strGroupDN & DisplayMembers "LDAP://" și strGroupDN, strSpaces dicSeenGroupMember Funcția DisplayMembers( strGroupADsPath strSpaces dicSeenGroupMember) set objGroup - GetObject(strGroupADsPath) pentru fiecare objMember În objGroup Members Wscript Echo strSpaces și objMember Name if objMember CIass - "grup" atunci dacă dicSeenGroupMember ExistsCobjMember ADsPath), atunci Wscript Echo strSpaces & " L membrul grupului deja văzut " & "(oprire pentru a evita bucla)'* Adăugarea și eliminarea membrilor grupului else dicSeenGroupMember Add objMember ADsPath, DisplayMembers objMember ADsPath, strSpaces & " ", de cSeenGroupMember sfârşitul dacă sfârşitul dacă Următorul funcția finală Un comentariu După cum sa discutat în Rețeta , lista membrilor grupului este stocată în atributul de membru compus al obiectului grup Cu toate acestea, acest atribut conține numai numele membrilor imediati ai grupului și nu include numele membrilor grupurilor imbricate ale acestuia Pentru a le obține, trebuie să căutați recursiv prin listele de membri ai fiecăruia dintre grupurile imbricate Scriptul VBScript de mai sus folosește un obiect dicționar (în alte limbi, astfel de structuri sunt numite tabele hash sau tablouri asociative), care conține o listă a tuturor membrilor grupului curent care este procesat Înainte de a apela funcția Di spl ayMembers, verificăm dacă grupul a fost deja procesat Dacă a fost procesat, este afișat un mesaj corespunzător O astfel de verificare este necesară în cazul cuibăririi ciclice a grupurilor, când, de exemplu, grupul A este inclus în grupul B, grupul B este în grupul C și grupul C este în grupul A Vezi si Rețeta arată cum să vizualizați o listă de membri ai grupului Vă recomandăm să consultați și documentul MSDN: lADsMember Adăugarea și eliminarea membrilor grupului Problemă Doriți să adăugați un nou obiect la grup sau să eliminați unul dintre obiectele existente din acesta Soluţie Utilizarea interfeței grafice cu utilizatorul Urmați pașii din Rețeta pentru a afișa o listă de membri ai grupului Dacă doriți să eliminați unul dintre membrii grupului, faceți clic pe numele acestuia, apoi pe butonul din bara de instrumente Eliminare (Eliminare), confirmați că operația de eliminare este necesară și faceți clic pe butonul OK Pentru a adăuga un nou obiect la grup, faceți clic pe butonul Adaugă bara de instrumente, introduceți un nume pentru obiect și faceți dublu clic pe OK Capitolul Grupuri Folosind interfața liniei de comandă Pentru a adăuga un obiect nou la un grup, rulați comanda dsmod group cu comutatorul -addmbr: > dsmod group " '' -addmbr " " Comutatorul -rwr br este conceput pentru a elimina un membru al grupului: > dsmod group " '' -rrrmbr " " Pentru a înlocui întreaga listă de membri ai grupului, utilizați comutatorul -chmbr: > dsmod group " " -chmbr " " Folosind un script VBScript ' Acest cod adaugă un nou obiect la grup • - CONFIGURARE SCRIPT - strGroupDN - " " ' Exemplu: cn-SalesGroup ou-Groups dc-ra encorp dc-com strMemberDN - " " ' Exemplu: cn-jsmith cn-users dc-rallencorp dc-com ' TERMINAREA CONFIGURĂRII - set objGroup - GetObjectC "LDAP://" și strGroupDN) ' Adăugați un membru objGroup Add("LDAP://" & strMemberDN) 'Acest cod elimină un obiect din grup' CONFIGURARE SCRIPT strGroupDN - " " ' De exemplu: cn-SalesGroup ou-Groups dc-rallencorp dc-com strMemberDN - " " ' De exemplu: cn=jsmith,cn=users,dc=ra encorp dc- com ' - SFÂRȘIT CONFIGURARE set objGroup - GetObjectC"LDAP://" și strGroupDN) ' Eliminați objGroup RemoveC"LDAP://" și strMemberDN) Un comentariu Deoarece orice nume distinctiv poate fi plasat în atributul membru, orice obiect poate fi membru al unui grup Și în timp ce unitățile organizaționale sunt de obicei folosite pentru a grupa obiecte pe baza unor criterii, obiectele de grup pot fi folosite pentru a grupa obiecte diferite Același obiect poate fi membru al mai multor grupuri, ceea ce nu este tipic pentru departamente, așa că în unele cazuri grupurile sunt mai potrivite pentru gruparea obiectelor decât departamentele O altă caracteristică importantă a grupurilor este faptul că li se pot atribui permisiuni de acces la resurse, întrucât în Active Directory sunt membri ai sistemului de securitate, în timp ce unitățile organizaționale nu sunt În unele alte servicii de director, cum ar fi Novei Netware, departamentele acționează și ca membri ai sistemului de securitate Vezi si Rețeta arată cum puteți enumera membrii direcți ai unui grup Consultați documentele MSDN: IADsGroup::Add și MSDN: IADsGroup::Remove / O modifica domeniul de aplicare și tipul de grup Mutarea unui grup Problemă Doriți să mutați grupul într-o altă unitate organizațională sau domeniu Soluţie Dacă trebuie să mutați grupul într-o altă diviziune, urmați pașii descriși în Rețeta (Capitolul ) Instrucțiunile pentru mutarea unui grup într-un alt domeniu sunt furnizate în Rețeta (Capitolul ) Un comentariu Doar grupurile universale pot fi mutate între domenii Dacă trebuie să mutați un grup global sau un grup local de domeniu într-un alt domeniu, trebuie mai întâi să îl convertiți într-un grup universal și, după ce îl mutați, să returnați tipul inițial Fiți conștienți, totuși, de faptul că, dacă încercați să convertiți rpj ppu într-un alt tip de grup, puteți întâmpina probleme din cauza restricțiilor impuse de apartenența la grupuri de diferite tipuri Aceste restricții sunt discutate mai sus în secțiunea Cel mai simplu mod de a muta un grup între domenii este cu utilitarul ADMT (Active Directory Migration Tool) Vă permite să mutați și să restructurați grupuri fără a le converti de la un tip la altul și fără a modifica lista sau permisiunile membrilor acestora Informații detaliate despre acest utilitar sunt disponibile la www micro-soft com/windows /downloads/tools/admt/default asp Vezi si Rețeta (Capitolul ) vorbește despre mutarea unui obiect într-o altă OU, Rețeta (Capitolul ) vorbește despre mutarea lui într-un alt domeniu, iar Rețeta vorbește despre schimbarea domeniului și tipului de grup Schimbarea domeniului de aplicare și tipul grupului Problemă Trebuie să modificați domeniul și tipul de grup în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Z O eu lavă / Grupa I Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computers în panoul din stânga, selectați Connectto Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului căruia îi aparține grupul căutat, iar în meniul contextual care se deschide, selectați comanda Find Introduceți un nume de grup și faceți clic pe butonul Găsiți acum Faceți dublu clic pe numele grupului în panoul cu rezultatele căutării În fereastra de proprietăți care se deschide, selectați noul tip de grup și domeniul de aplicare, apoi faceți clic pe butonul OK Folosind interfața liniei de comandă Următoarea comandă setează grupul la domeniul specificat în parametrul , care poate fi una dintre cele trei valori: (domeniu local), g (global) sau și (universal) > dsmod group " " -scope Următoarea comandă modifică tipul grupului Pentru a face din acest grup un grup de securitate, tastați yes după comutatorul -secgrp sau prin pentru a-l transforma într-un grup de distribuție > dsmod group " " -secgrp yes|by Folosind un script VBScript Acest cod stabilește domeniul de aplicare și tipul grupului specificat * convertirea acestuia într-un grup de securitate universal ' - CONFIGURARE SCRIPT - strGroupDN - " dsacls /G ^DomainName:WP;membru; b Capitolul Următorul fragment de cod acordă grupului Sal esAdmi n dreptul de a face modificări listei de membri ai grupului PreSales > dsacls cn-presales ou=sales,dc-ral encorp dc-com /G salesadmins@rallencorp com:WP:member; Folosind un script VBScript ' Acest cod acordă membrilor grupului dreptul de a modifica proprietatea membrului ' - CONFIGURARE SCRIPT strGroupDN - " " ' De exemplu cn-SalesGroup ou-SaIes,dc-ral encorp,dc-com" strUserOrGroup - ~ " ' De exemplu: joeOrallencorp corn sau RALLENCORPXjoe - CONFIGURARE DE TERMINAT - set objGroup = GetObjectCLDAP://" și strGroupDN) 'Constante • SHSHSHі shshshshsh ' Din enumerarea ADS ACETYPE ENUM Const ADS ACETYPE ACCESS ALL WED JECT - &h Const ADS FLAG OBJECT TYPE PRESENT - &hl Const ADS RIGHT DS WRITE PROP = &h ' SchemaIDGUID al atributului membru Const MEMBER ATTRIBUTE - H{bf cG-Ode -lldO-a -OOaa) e }" > JIIIUIUIHUI'UJ! "SCHINNITSTCHIITS" W rt/rn I" UN illTZ II LTGI/ PII iTG/T I GG G/ iGP ' Creați o listă de control al accesului set objSD - objGroup GetCntSecurityDescriptor") set objOACL - objSD DiscretionaryAcl Setarea permisiunii de scriere a proprietății pentru atributul membru set objACE - CreateObjectCAccessControlEntry") objACE Trustee - strUserOrGroup objACE AccessMask - ADS RIGHT DS WRITE PROP objACE AceFlags - ObjACE FIags - ADS FLAG OBJECT TYPE PRESENT objACE AceType = ADS ACETYPE ACCESS ALLOWED OBJECT objACE ObjectType - MEMBER ATTRIBUTE objDACL AddAce objACE Setarea listei de control acces objSD DiscretionaryAcl - objDACL objGroup Pune "ntSecurityDescriptor" objSD objGroup SetInfo WScrlpt Echo "Control delegat al atributului membrului pentru " & strGroupDN & " la " & strUserOrGroup Un comentariu Pentru a acorda unui utilizator sau unui grup permisiunea de a gestiona apartenența la un anumit grup, trebuie să acordați permisiunea de proprietate de scriere (WP) atributului de membru al grupului Poate fi realizat Determinarea numelui grupului principal al utilizatorului în diferite moduri - fie prin adăugarea unui nou element la lista de control al accesului a grupului al cărui control decideți să-l delegați, fie prin utilizarea componentei snap-in Active Directory Users and Computers (Active Directory Users and Computers) În Windows Server , snap-in-ul a fost îmbunătățit cu o nouă caracteristică: acum, pentru a efectua sarcina specificată în snap-in, este suficient să deschideți fereastra cu proprietățile grupului și să bifați caseta de selectare corespunzătoare care permite unui anumit utilizator sau grup pentru a schimba apartenența la acest grup Dacă trebuie să setați permisiuni suplimentare, spuneți dreptul de a modifica valoarea atributului de descriere, acest lucru se poate face în fila Securitate a casetei de dialog cu proprietățile grupului din snap-in-ul Active Directory Users and Computers sau folosind comanda dsacl s prin specificarea atributului necesar după comutatorul /G De exemplu, permisiunea de scriere a atributului descriere este setată astfel: /G j'pynnbP'WomainDNSName: WP; descriere pti pe: Vezi si Rețeta (Capitolul ) explică ce este delegarea controlului și cum se realizează în Active Directory Determinarea numelui grupului principal al utilizatorului Problemă Trebuie să știți numele grupului principal al utilizatorului specificat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Users and Computers Dacă trebuie să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computers în panoul din stânga, selectați Connect to Domain, introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului căruia îi aparține utilizatorul care vă interesează, iar în meniul contextual care se deschide, selectați comanda Find (Find) Introduceți numele dvs de utilizator și faceți clic pe butonul Găsiți acum Faceți dublu clic pe numele de utilizator din panoul cu rezultatele căutării În caseta de dialog cu proprietățile utilizatorului, faceți clic pe fila Member Of În partea de jos a acestuia va fi numele grupului său principal Capitolul Grupuri Folosind un script VBScript * Acest cod afișează numele grupului principal al utilizatorului * - CONFIGURARE SCRIPT - strNTDomain - " " ' Numele NetBIOS al domeniului Active Directory ' De exemplu: RALLENCORP strUser = -User^ ' De exemplu: Administrator ' - TERMINAREA CONFIGURĂRII ' În bucla prin grupuri de utilizatori, este creat un filtru care conține numele ' din toate grupurile set objUser - GetObject!"WinNT://" & strNTDomain & "G&strUser & " user") strFilter - pentru fiecare objGroup din grupurile objUser strFilter - strFilter & "(samAccountName=" & objGroup Name & ")" următor strFilter = M(|" & strFilter & ")M ' Acum se efectuează o căutare pentru a extrage toate * grupuri și atributul lor primaryGroupToken strBase - " pentru a reîmprospăta de pe cel mai apropiat site care are un catalog global Faceţi clic pe butonul OK Folosind interfața liniei de comandă Pentru a afla dacă memorarea în cache a apartenenței la grup universal este activată pentru un site, combinați comenzile dsquery site și dsget site: > dsquery site -name | dsget site -dn -cachegroups -prefGCSite Memorarea în cache se poate face folosind comanda Idifde Creați un fișier enable univ cache ldf adăugând următorul text și înlocuind cu numele site-ului pe care doriți să îl memorați în cache și cu numele distinctiv al domeniului rădăcină a pădurii: dn: cn=NTDS Site Settings cn* cn"sites,cn-configuration changetype: modify replace: options options: Apoi rulați următoarea comandă pentru a importa instalarea specificată în fișier în Active Directory: > Idifde -i -f enable un v cache ldf Folosind un script VBScript Acest cod permite stocarea în cache a informațiilor de apartenență la grup universal pentru un anumit site ' - CONFIGURARE SCRIPT - strSiteName = " " ' De exemplu: Default-First-Site-Name ' - TERMINAREA CONFIGURAȚIEI set objRootDSE - GetObjectCLDAP://RootDSE") set objSite - GetObjectCLDAP://cn-NTDS Site Settings cn=" & strSiteName & " cn-sites," și objRootDSE GetCconfigurationNamingContext") ) Această rețetă necesită ca nivelul funcțional al pădurii să fie Windows Server Memorarea în cache a informațiilor despre apartenența la grup universal objSite Put "opțiuni*", objSite SetInfo WScrlpt Echo "Cachlng de grup universal activat cu succes pentru " & strSiteName Un comentariu Când un utilizator se conectează la un controler de domeniu Windows Active Directory, controlerul de domeniu trebuie să contacteze serverul de catalog global (dacă nu este el însuși unul) pentru a obține informații despre apartenența la grupul universal al utilizatorului Grupurile universale pot fi create și utilizate oriunde în pădure și pot include obiecte care sunt, de asemenea, situate oriunde în pădure Și deoarece obiectul utilizator poate fi membru al unui grup universal situat într-un alt domeniu, apartenența sa la acel grup trebuie să fie stocată în catalogul global Când un utilizator se conectează, controlerul de domeniu care gestionează conexiunea trebuie să interogheze catalogul global pentru informații despre apartenența utilizatorului la toate grupurile universale, deoarece acestor grupuri li se pot atribui permisiuni pentru a accesa diverse resurse Dacă astfel de informații nu sunt solicitate, utilizatorului nu i se va acorda permisiunea de a accesa resursele relevante Atunci când un server de catalog global este temporar indisponibil, Windows Server Active Directory introduce memorarea în cache a informațiilor despre apartenența la grupul universal al unui utilizator, eliminând necesitatea de a vă conecta la un server de catalog global în timpul conectării utilizatorului Pentru a activa stocarea în cache, trebuie să setați atributul opțiuni al obiectului NTDS Site Settings la bitul , care corespunde valorii zecimale În soluțiile de mai sus, folosind linia de comandă și VBScript, atributul specificat este pur și simplu scris în numărul , care nu foarte bine Vezi Rețeta (Capitolul ) pentru a seta corect steagurile de biți de atribut Complementul Active Directory Sites and Services vă permite să efectuați această sarcină utilizând caseta de selectare corespunzătoare Există o altă setare de care ar trebui să știți, care este legată de memorarea în cache a informațiilor despre apartenența la un grup universal a unui utilizator În mod implicit, controlorii de domeniu folosesc informațiile de topologie a site-ului pentru a determina la ce server de catalog global este cel mai bine să se conecteze Cu toate acestea, puteți specifica în mod explicit controlerele de domeniu ale site-ului care trebuie utilizate în acest scop Setarea corespunzătoare este setată folosind snap-in Site-uri și servicii Active Directory: atributul msDS-Preferred-GC-Site al obiectului NTDS Site Settings este setat la numele distinctiv al site-ului dorit Despre computere Introducere În Active Directory, vizualizarea computerelor seamănă mult cu cea a utilizatorilor: acestea sunt obiecte din director, grupate în grupuri și unități organizaționale pentru ușurință în administrare La fel ca obiectelor utilizator, li se acordă permisiuni de acces la resurse, li se aplică politici de grup Clasa de computer căreia îi aparțin aceste obiecte moștenește clasa de utilizator, astfel încât include toate atributele acestei clase în plus față de câteva atribute proprii Pentru ca computerele să facă parte din domenii, fiecare dintre ele trebuie să aibă un canal de comunicare securizat cu un controler de domeniu Acest tip de canal este o conexiune autentificată prin care se pot transmite date criptate Pentru a-l crea, computerul trebuie să spună controlerului de domeniu parola sa, care va fi verificată cu parola stocată în contul Active Directory al computerului Fără un astfel de cont (reprezentat de obiectul computer), autentificarea computerului pur și simplu nu este posibilă Anatomia unui obiect computerizat În mod implicit, obiectele computerului sunt plasate în containerul cn=Computers, care se află în directorul rădăcină al domeniului Cu toate acestea, dacă se dorește, astfel de obiecte pot fi create oriunde în arborele de directoare din domeniu În plus, în Windows Server , puteți modifica locația implicită a obiectelor computerului; cum se face acest lucru este descris în rețeta Lista celor mai importante atribute ale obiectului computer este dată în tabel Tabelul Atributele obiectului computer Descrierea atributului SP Numele distinctiv relativ al obiectului computer dnsHostName Numele DNS complet calificat al computerului astLogonT mes tâmp Datele și orele aproximative la care computerul a fost conectat ultima dată la domeniu Acest atribut a fost introdus în Windows Server managedBy Numele distinctiv al utilizatorului (sau grupului) responsabil cu gestionarea acestui computer o ± ѵshdimie iijekia cunipuiei Descrierea atributului memberOf Listă de DN-uri de grup cărora le aparține acest computer operatingSystem O descriere textuală a sistemului de operare pe care îl rulează computerul Vezi și rețeta operațingSystemHotFix operațingSystemServicePack Nu este utilizat în prezent Versiunea pachetului de servicii instalată pe computer Vezi și rețeta operați ngSystemVersi on Versiunea sistemului de operare pe care o rulează computerul Vezi și rețeta pwdLastSet Un număr întreg mare care reprezintă ultima dată când a fost setată parola computerului Vezi și rețeta sAMAccountName Numele computerului NetBIOS Acesta este de obicei numele computerului cu un "S" la sfârșit userAccountControl Un set de indicatori de biți care reprezintă proprietățile contului Crearea unui obiect computer Problemă Trebuie să creați un obiect computer în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe elementul Active Directory Users and Computers din panoul din stânga, selectați Con-nect to Domain din meniul contextual care se deschide, apoi introduceți numele domeniului și faceți clic pe OK În panoul din stânga, localizați containerul părinte al computerului, faceți clic dreapta pe el și selectați Nou ► Computer din meniul contextual care se deschide Introduceți un nume pentru noul computer și faceți clic pe OK Folosind interfața liniei de comandă > dsadd computer " " -dese " " Capitolul Calculatoare Folosind un script VBScript ' Acest cod creează un obiect computer ' - CONFIGURARE SCRIPT strBase - " '' ' De exemplu: cn-Computers dc-rallencorp dc-com strComp - " " ' De exemplu: joe-xp strDescr - " " ' De exemplu: stația de lucru Windows XP a lui Joe ■ TERMINAREA CONFIGURĂRII ' Din enumerarea ADS USER FLAG ENUM Const ADS UF WDRKSTATION TRUST ACCOUNT - &hl set objCont - GetObjectCLDAP://" & strBase) set objComp - objCont Createi"computer' "cn-" și strComp) objComp Puneți "sAMAccountName" strComp & objComp Pune "descriere" strDesc objComp Put "userAccountControl" ADS UF WORKSTATION TRUST ACCOUNT objComp SetInfo Wscript Echo "Cont de computer pentru" & strComp & "creat" Un comentariu Procedura de creare a unui obiect computer în Active Directory nu este mult diferită de procedura de creare a unui obiect utilizator Linia de comandă și soluțiile VBScript stabilesc de obicei (dar nu întotdeauna) valoarea atributului de descriere Singurul atribut necesar este numele distinct al computerului, care în VBScript este folosit și pentru a popula atributul sAMAccountName, care reprezintă numele contului SAM - este completat cu numele computerului cu un caracter "$" la Sfârşit Rețineți că toate cele trei soluții creează pur și simplu un obiect computer Cu toate acestea, simpla sa prezență nu este suficientă pentru ca utilizatorul să poată alătura acest computer la domeniu Pentru mai multe informații despre crearea unui obiect computer și permiterea unui utilizator sau grup să îl alăture unui domeniu, consultați Rețeta Vezi si Rețeta arată cum să creați un obiect computer pentru un anumit utilizator sau grup Consultați MS KB (Automatizarea creării conturilor de computer), MS KB (CUM PENTRU: Computere Windows prefabricate în Active Directory), MS KB (Automatizarea creării conturilor de computer), MS KB (CUM PENTRU : Gestionați conturile de computer în Active Directory în Windows ) și MSDN: ADS USER FLAG ENUM Creați un obiect computer pentru un anumit utilizator sau grup Problemă Trebuie să creați un obiect computer pentru un anumit utilizator sau grup, astfel încât acesta să poată fi alăturat unui domeniu Utilizatorul și grupul trebuie să aibă permisiunile corespunzătoare pentru a opera pe acest obiect Crearea unui obiect computer pentru un anumit utilizator sau grup Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain din meniul contextual care se deschide, introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, găsiți containerul părinte al computerului care vă interesează, faceți clic dreapta pe el și selectați Nou ► Computer din meniul contextual care se deschide Introduceți un nume de computer Faceţi clic pe butonul Modificare Selectați utilizatorul sau grupul căruia doriți să îi acordați permisiunea de a se alătura computerului la domeniu Faceţi clic pe butonul OK Folosind interfața liniei de comandă În următorul fragment de cod, înlocuiți cu numele distinct al obiectului computer și cu principalul de securitate sau numele NT al utilizatorului sau grupului care va fi de încredere pentru a gestiona acest computer: > dsadd computer > dsacls /G WM rpynna user>:CALCGRSCDTRC:: > dsacls /G user jmHjpynna>:MP;descriere; > dsacls /G UIP:sAMAccountName: > dsacls /G :UiP^isp ayNote; > dsacls /G userjinHjpynna>:MP;"\ oqon Information"; > dsacls /G :^P;"^sssipI Restricții": > dsacls /G :WS:"Validatedwritetoserviceprincipal name"; > dsacls /G :WS:"Scrie validată pe numele gazdei DNS"; Folosind un script VBScript Acest cod creează un obiect computer și oferă dreptul de a-l gestiona pentru un utilizator sau grup ' - CONFIGURARE SCRIPT - strComputer - " " ' De exemplu: joe-xp strUser - " " ' De exemplu: joe@rallencorp com sau RALLENCORPXjoe strOescr - " '' ' De exemplu: stația de lucru a lui Joe strDomain - " " ' De exemplu: rallencorp com ' - TERMINAREA CONFIGURĂRII 'Constante chishzhchnmmshtt Din enumerarea ADS USER FLAG ENUN Const ADS UF PASSWD NOTREQD - &К gv Capitolul Calculatoare Const ADS UF WORKSTATION TRUST ACCOUNT - fihlOOO ' Din enumerarea ADS ACETYPE ENUM Const ADS ACETYPE ACCESS ALLOWED - &h Const ADS ACETYPE ACCESS ALLOWED JECT =■ &h ' Din enumerarea ADS FLAGTYPE ENUM Const ADS FLAG OBJECT TYPE PRESENT - &hl ' Din enumerarea ADS RIGHTS ENUM Const ADS RIGHT DS SELF - &h Const ADS RIGHT DS WRITE PROP - &h Const ADS RIGHT DS CONTROL ACCESS - &NOO Const ADS RIGHT ACTRL DS LIST - &h Const ADS RIGHT GENERIC READ - &h Const ADS RIGHT DELETE - bhlOOOO Const ADS RIGHTJ)S DELETE TREE - &h Const ADS RIGHT READ CONTROL = &I ' valorile schemalOGUID Const DISPLAY NAME ° "{bf - de -lld -a - aa e }" Const SAM ACCOUNT NAME - "{ e abfd - a-lld -a - aa c ed}" Const DESCRIERE - M{bf - de -lld -a - aa e j" ' valorile rightsGUID pentru controlAccessRight Const USER LOGON INFORMATION - "( f - a -lld - - c fc d cf}" Const USER ACCOUNT RESTRICFIONS - "( C - CO- DO-A -OOAA E }" Const VALIDATED DNS HOST NAME = "( E - B -nDl-ADEF-O C FD D CD}" Const VALIDATED SPN = "{F A - - D -A C - F O C }" flBliiHItlIriilt ti II li II TTPI II ti ti ' Creați un obiect computer set objRootDSE - GetObjectCLDAP://' & strDomain & "/RootDSE") set objContainer - GetObject ("LDAP://cn-Computers " & objRootDSE Get("defaultNamingContext")) setați objComputer ° objContainer CreateCComputer" "cn=" & strComputer) objComputer Put "sAMAccountName" strComputer și objComputer Puneți "userAccountControl" ADS UF PASSWD NOTREQD Sau ADS UF WORKSTATION TRUST ACCOUNT objComputer Pune "descriere" strDescr objComputer SetInfo Creați o listă de control acces ■ tіshpkіі'zhshtsh set objSD - objComputer GetCntSecurityDescriptor") set objDACL - objSD DiscretionaryAcl Permisiuni speciale: Drepturi de control Li st Children (Lista de obiecte copil) Citire generică, ștergere ștergere permisiunea de citire subarboresc Creați un obiect computer pentru un anumit utilizator sau grup set objACEl - CreateObjectC'AccessControlEntry' ) objACEl Trustee - strUser objACEl AccessMask - ADS RIGHT DS CONTROL ACCESS Sau ADS RIGHT ACTRL DS UST Sau ADS RIGHT GENERIC READsau ADS RIGHT DELETE Sau ADS RIGHT DS OELETE TREE sau AOS RIGHT READ CONTROL objACEl AceFlags - ObjACEl AceType - ADS ACETYPE ACCESS ALLOWED • Permisiunea de a scrie set de descriere a proprietății objACE - CreateObjectC'AccessControlEntry") objACE Trustee ** strllser objACE AccessMask - ADS R GHT DS WRITE PROP objACE AceFlags - objACE Flags = ADSECT FLACETY OBJECT OBJECT OBJECT OBJECT OBJECT ADS OBJECT OBJECT OBJECT OBJECT OBJECT ' Permisiunea de a scrie proprietatea sAMAccountName set objACE - CreateObject("AccessControlEntry") objACE Trustee - strUser objACE AccessMask - ADS RIGHT DS WRITE PROP objACE AceFlags " objACE Flags - ADS FLAG JECT TYPE PRESENT objACE AceType - ADS ACETYPE ACCESS ALLOWED OBJECT objACE bjectType - SAM ACCOUNT NAME ' Permisiunea de a scrie proprietatea displayName set objACE = CreateObjectC'AccessControlEntry") objACE Trustee - strUser objACE AccessMask - ADS RIGHT DS kRITE PROP objACE AceFlags = objACE Flags - ADS FLAG OBJECT TYPE PRESENT objACE AceType " ADS ACETYPE ACCESS ALLO'JED OBJECT objACE bjectType - DISPLAY NAME Permisiune de a scrie setul de proprietăți Informații de conectare objACE - CreateObjectC'AccessControlEntry") objACE Trustee - strllser bjACE AccessMask = ADS R!GHT DS WRITE PROP objACE AceFlags = ObjACE AceType = ADS ACETYPE ACCESS ALLCWED CBJECT objACES Flags - ADS FLAG OBJECT TYPE PRESENT objACE bjectType " USER LOGON INFORMATION Permisiune de a scrie proprietatea Restricții de cont set objACE - CreateObjectC'AccessControlEntry") objACE Trustee - strUser °bjACE AccessMask = ADS RIGHT DS WRITE PROP objACE AceFlags e ObjACE AceType - ADS ACETYPE ACCESS ALLOWEO OBJECT °bjACE Flags - ADS FLAG OBJECT TYPE PRESENT objACE bjectType - USER ACCOUNT RESTRICTIONS Capitolul Calculatoare * Permisiunea de a scrie proprietățile proprii Validat SPN set objACE - CreateObjectCAccessControlEntry") objACE Trustee - strUser objACE AccessMask - ADS RIGHT DS SELF objACE AceFlags - O bjACE AceType - ADS ACETYPE ACCESS ALLOWED OBJECT objACE FIags - ADS FLAG OBJECT TYPE PRESENT objACE bjectType " VALIDATED SPN ' Разрешение на запись собственного свойства Validated DNS Host Name set objACES - CreateObjectC'AccessControlEntry') objACE Trustee - strUser objACE AccessMask - ADS RIGHT DS SELF objACE AceFlags - O objACE AceType " ADS ACETYPE ACCESS ALLOWED OBJECT objACE Flags - ADS FLAG OBJECT TYPE PRESENT objACE bjectType - VALIDATED DNS HOST NĂME objDACL AddAce objACEl objDACL AddAce objACE objDACL AddAce objACE objDACL AddAce objACE objDACL AddAce objACE objDACL AddAce objACE objDACL AddAce objACE objACE objDACL AddAce irntrtrn :Trtnrtr;rtnrtr IPHYP rru rlrtruTf ' Setați lista de control al accesului (ACL) mzhmshn objSD DiscretionaryAcl - objDACL objComputer Pune "ntSecurityDescriptor" objSD objComputer SetInfo WScript Echo "A creat cu succes " & strComputer & " și a acordat drepturi pentru " & strUser Un comentariu Simplul fapt de a crea un obiect computer în Active Directory nu permite utilizatorului să se alăture computerului la domeniu Pentru ca un anumit utilizator să poată face acest lucru, trebuie să i se acorde permisiuni de modificare a obiectului computerului Când creați un obiect utilizând snap-in-ul Utilizatori și computere Active Directory, puteți selecta un utilizator (sau grup) căruia i se va permite să gestioneze obiectul și să alăture computerul la domeniul care îl utilizează În acest caz, opt noi intrări sunt adăugate la lista de control al accesului (ACL) a obiectului computer, reprezentând următoarele permisiuni: Despre conținutul listei (pentru a afișa o listă de conținut), citire proprietăți AII (pentru a citi toate proprietățile), ștergere (pentru a șterge), ștergere subarboresc (pentru a șterge un subarboresc), permisiuni de citire (pentru a citi permisiunile), precum și toate celelalte permisiuni, inclusiv Permis de autentificare (pentru autentificare), Modificare parolă (pentru schimbarea parolei), Trimitere ca (pentru trimitere), Primire ca (pentru primire) și Resetare parolă (pentru resetarea parolei); Crearea unui obiect computer pentru un anumit utilizator sau grup ZO О Scrieți descrierea proprietății (pentru a scrie descrierea proprietății); Despre Write Property sAMAccountName (pentru a scrie proprietatea sAMAccountName); O Scrieți proprietatea displayName (pentru a scrie proprietatea displayName); O Scrieți informații de conectare a proprietății (Proprietățile păreau a fi informații de conectare); O Scrieți restricții de cont de proprietate (proprietățile păreau a fi restricții de cont); O Scriere validată (la o scriere validată la o gazdă cu nume DNS); Despre Scriere validată (pentru a confirma numele participantului la serviciul sistemului de securitate) Spre o soluție cu o interfață grafică de utilizator Dacă doriți să modificați permisiunile care sunt setate în mod implicit atunci când selectați un utilizator sau un grup, faceți dublu clic pe obiectul computerului și deschideți fila Securitate în fereastra de proprietăți Este disponibil numai când este selectat Vizualizare ► Funcții avansate La soluție folosind interfața de linie de comandă Utilitarul dsacls vă permite să specificați fie UPN-ul unui cont de utilizator, în formatul user&donen, fie numele său implicit, în formatul DOMEN\utilizator În plus, utilitarul specificat necesită ca atributul pentru care setați permisiuni de scriere sau suplimentare să fie setat la displayName, nu IDAPDisplayName Către o soluție VBScript După ce obiectul computer este creat în același mod ca în Rețeta , este creat un obiect AccessControl Entry pentru fiecare dintre cele opt noi intrări ACL Pentru a asocia elementele din listă cu un obiect computer, trebuie să preluați descriptorul de securitate curent al obiectului, stocat în atributul nTSecurityDescriptor și apoi să adăugați opt intrări noi la ACL-ul său În cele din urmă, pentru a efectua modificări în Active Directory, trebuie să apelați metoda SetInfo Pentru mai multe informații despre specificul generării unei liste de control al accesului în mod programatic, consultați documentația pentru interfața JADsAccessControl Entry, disponibilă pe MSDN Vezi si Rețeta descrie specificul creării unui nou cont de computer Consultați MS KB (Securitate îmbunătățită, alăturarea sau resetarea contului de mașină în domeniul Windows ), MS KB (CUM SE: Pregătirea computerelor Windows în Active Directory), MS KB (CUM SE: Gestionează conturile de computer în Active Directory în Windows ), MSDN: IADsAc-cessControlEntiy, MSDN: ADS ACETYPE ENUM, MSDN: ADS RIGHTS ENUM, MSDN: ADS FLAGTYPE ENUM Capitolul Calculatoare Conectați un computer la un domeniu Problemă Doriți să conectați computerul la domeniu după ce ați creat obiectul computer corespunzător în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Conectați-vă la computerul la care doriți să vă alăturați domeniului Utilizând panoul de control, lansați aplicația Sistem și accesați fila Nume computer Faceți clic pe butonul Modificare În zona Member of, setați butonul radio la Domeniu Introduceți numele domeniului la care doriți să vă alăturați computerului și faceți clic pe butonul OK Dacă vi se solicită numele și parola unui cont de utilizator care are permisiuni de a alătura un computer la un domeniu, introduceți-le Reporniți computerul NOTĂ - - Pe sistemele de operare Windows , Windows XP și Windows Server , interfața aplicației System invocată din Panoul de control este oarecum diferită Folosind interfața liniei de comandă > netdom join /Domeniu /UserO ^ ZPasswordD * /UserO /PasswordO * /Reboot Folosind un script VBScript Acest cod unește computerul cu domeniul ' CONFIGURARE SCRIPT - strComputer =*= '' '' ' De exemplu: joe-xp strDomain - " " ' De exemplu: rallencorp com strDomainUser - " '' ' De exemplu: administratortfrallencorp com strDomainPasswd =■ " " strLocalUser = " '' ' De exemplu: administrator strLocalPasswd - " " ' Sfârșitul configurației - constante Const JOIN DOMAIN Const ACCT CREATE Const ACCT-DELETE Const UPGRADE WIN X " - " = Conectați un computer la un domeniu Const DOMAIN JOIN IF JOINED - Const JOINJJNSECURE - Const MACHINE PASSWORD PASSED - Const DEFERRED SPN SET = Const INSTALARE INVOCARE - ' Conectarea la un computer set objWMILocator - CreateObjectCWbemScripting SWbeiîiLocator") objUMILocator Security AuthenticationLevel - set objWMIComputer - objhMILocator ConnectServerCstrComputer "Toot\cimv " strLocalUser, strLocalPasswd) setați objWMIComputerSystem - objUMIComputer Get( "Win ComputerSystem Name-'" & strComputer & ' Conectați un computer la un domeniu • shhhhh re = objWMIComputerSystem JoinDomainOrWorkGroup(strDomain strDomainPasswd strOomainllser vbNullString JOINJDQMAIN) dacă re o atunci WScript Echo "Alăturarea a eșuat cu eroare: " & rc el se WScript Echo "S-a alăturat cu succes " & strComputer & " la " & strDomain se termină dacă Un comentariu Dacă doriți să conectați un computer la un domeniu Active Directory, trebuie mai întâi să creați un obiect computer care să îl reprezinte Cum se face acest lucru este descris în rețetele și Spre o soluție cu o interfață grafică de utilizator Cu permisiunile necesare în Active Directory, puteți crea un obiect computer și îl puteți conecta la un domeniu în același timp, urmând pașii din soluția UI Deoarece aplicația Control Panel System nu vă permite să specificați unitatea organizațională în care va fi plasat obiectul computer, obiectul este creat în containerul implicit Computers Rețetele și descriu unde este amplasat un astfel de container și cum să specificați un alt container pentru a stoca obiectele computerului La soluție folosind interfața de linie de comandă Când conectează un computer la domeniu, netdom creează un obiect computer pentru acesta, dacă nu există deja unul Opțional, puteți adăuga tasta / Capitolul Calculatoare și indicați după ea unitatea unde trebuie plasat acest obiect Cu toate acestea, rețineți că nu puteți finaliza această procedură dacă nu aveți permisiunea de a crea obiecte în unitatea organizațională specificată Există mai multe restricții privind rularea comenzii netdom join de la distanță Dacă setarea de politică de securitate ForceGuest este activată pe un computer bazat pe Windows XP, nu puteți conecta computerul de la distanță la un domeniu Dar dacă această comandă este rulată pe computerul la care doriți să vă alăturați domeniului, instalarea ForceGuest nu contează Către o soluție VBScript Pentru a executa de la distanță metoda Win ComputerSystem::JoinDomainOrWorkGroup, trebuie să setați parametrul AuthenticationLevel la b, astfel încât traficul dintre cele două computere (sau mai bine zis, parolele transmise între ele) să fie criptat De asemenea, puteți crea un obiect computer utilizând metoda JoinDomainOr-WorkGroup prin setarea steagurilor ACCT CREATE și JOIN DOMAIN NOTĂ - Această caracteristică este disponibilă numai pe Windows XP și Windows Server , nu pe Windows și sistemele de operare anterioare Acest script, precum și utilitarul netdom, nu pot fi executate pe o mașină la distanță care are instalat ForceGuest Vezi si Mai multe informații despre instalarea ForceGuest pot fi găsite la http://www microsoft com/technet/prodtechnol/winxppro/reskit/prde ffs ypuh asp Vă recomandăm să consultați documentele MS KB (Securitate îmbunătățită, alăturarea sau resetarea contului Machme în Windows ) Domain ), MS KB (Utilizatorii domeniului nu se pot alătura stației de lucru sau serverului la un domeniu), MS KB (Cum se setează securitatea în Windows XP Professional care este instalat într-un grup de lucru), MSDN: Win ComputerSystem::JoinDomainOrWorkgroup și MSDN: NetJoinDomain Mutarea obiectului computer Problemă Doriți să mutați obiectul computer într-un container diferit sau într-o unitate organizațională Active Directory diferită Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Mutarea obiectului computer Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computers în panoul din stânga, selectați Con-nect to Doman n din meniul contextual care se deschide, apoi introduceți numele domeniului și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul contextual care se deschide În caseta combinată Găsiți, selectați Calculatoare Introduceți un nume pentru computerul care urmează să fie mutat, apoi faceți clic pe butonul Găsiți acum În panoul cu rezultatele căutării, faceți clic dreapta pe numele computerului și selectați Mutare (Mutare) din meniul cu comenzi rapide În caseta de dialog care se deschide, găsiți și selectați containerul în care doriți să plasați obiectul Faceţi clic pe butonul OK NOTĂ - - În snap-in-ul Active Directory Users and Computers (Active Directory Users and Computers), sau mai degrabă în versiunea sa pentru Windows Server , computerul și alte obiecte pot fi mutate prin glisare și plasare Folosind interfața liniei de comandă > dsmove " '' -newparent " '' Folosind un script VBScript Acest cod mută computerul în containerul sau OU dat ' - CONFIGURARE SCRIPT - strCompDN = " ' De exemplu cn-joe-xp cn-Users dc-ralIencorp dc-com strOUDN " " " ' De exemplu: ou^orkstations,dc-rallencorp dc-com ' - TERMINAREA CONFIGURĂRII set objCorap - GetObject ("LDAP://" & strCompDN) set objOU = GetObject("LDAP /" & strOUDN) objOU MoveHere objComp ADsPath objComp Nume Un comentariu Mutarea obiectului computer nu are aproape niciun efect asupra proprietăților acestuia Cu toate acestea, rețineți că setările de securitate ale noii OU părinte pot afecta capacitatea utilizatorilor de a gestiona obiectul în Active Directory De asemenea, dacă un GPO diferit a fost asociat cu noul container părinte sau OU, setările acestuia vor afecta modul în care computerul pornește și se conectează Vezi si Rețetele și (Capitolul ) descriu cum să mutați obiectele într-o altă OU și, respectiv, alt domeniu Capitolul Calculatoare Redenumirea unui computer Problemă Trebuie să redenumiți computerul în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Conectați-vă la computerul la care doriți să vă alăturați domeniului Apoi deschideți aplicația Control Panel System și accesați fila Computer Name Faceți clic pe butonul Modificare În câmpul Nume computer, introduceți un nume nou și faceți clic pe butonul OK, apoi faceți clic din nou pe butonul specificat pentru a ieși din aplicația Sistem Reporniți computerul Folosind interfața liniei de comandă > netdom renamecomputer /NewName ZUserDJ /PasswordO * /UserO /PasswordO * /Reboot Folosind un script VBScript ' Acest ID redenumește computerul și scrie noul său nume în Active Directory ' - CONFIGURARE SCRIPT strComputer - " " De exemplu: joe-xp strNewComputer = " " De exemplu: joe-pc strDomalnUser " " " De exemplu: administrator@rallencorp corn strDomainPasswd "și " strLocalUser => '' '' De exemplu: joe-xp\admînistrator strLocalPasswd = " atunci WScrlpt Echo "Redenumirea eșuată cu eroarea a -a: " & rc el se WScnpt Echo "Redenumit cu succes " & strComputer & " în " & strNewComputer sfârşitul dacă WScrlpt Echo "Se repornește " set objWSHShell - WScript CreateObject("WScript Shell") objWSHShell Run "shutdown exe /r" Un comentariu Pentru a redenumi un computer, trebuie să faceți două lucruri: redenumiți obiectul computerului în Active Directory și schimbați numele computerului însuși Pentru a face acest lucru dintr-o singură mișcare, așa cum se arată mai sus, trebuie să aveți permisiunea Redenumire cont în Active Directory și permisiuni de administrator pe computerul care urmează să fie redenumit ATENŢIE - În unele cazuri, redenumirea unui computer afectează serviciile care rulează pe acesta Prin urmare, nu puteți, să zicem, redenumirea unui computer care este un controler de domeniu Windows sau un server de certificare Windows fără a dezactiva mai întâi serviciile corespunzătoare Spre o soluție cu o interfață grafică de utilizator După ce redenumiți computerul, vi se va solicita să-l reporniți Repornirea poate fi amânată, dar trebuie făcută mai târziu, altfel modificările pe care le-ați făcut nu vor avea efect La soluție folosind interfața de linie de comandă Opțiunea renamecomputer a comenzii netdom a fost introdusă în Windows Server Această comandă poate fi rulată de la distanță și acceptă opțiunea /Reboot, care vă permite să specificați ca computerul să repornească automat după redenumire Către o soluție VBScript Dacă computerul pe care doriți să îl redenumiți nu este membru al unui domeniu, metoda Wi n ComputerSystem::Rename trebuie să fie rulată local pe computer Soluția software nu vă permite să setați un nume de utilizator și o parolă pentru o altă conexiune decât o nume de utilizator și parola de domeniu Din acest motiv, contul specificat la apelarea metodei Redenumire trebuie să aibă drepturi administrative pe computerul redenumit (adică să fie membru al grupului Administratori) și trebuie să aibă, de asemenea, permisiunea de a redenumi obiectul computerului din Active Directory NOTĂ - Această metodă este nouă pentru Windows XP și Windows Server și, prin urmare, nu este disponibilă pe Windows și sistemele de operare anterioare Capitolul Calculatoare Vezi si Rețeta (Capitolul ) vă spune cum să redenumiți un obiect Vă recomandăm să citiți documentele MS KB (Schimbarea numelui computerului în Windows necesită repornire), MS KB (Securitate îmbunătățită Joining or Reset-tmg Machine Account m Windows Domain), MS KB (CUM PENTRU: Utilizați Netdom exe pentru a Resetați parolele contului de mașină ale unui controler de domeniu Windows ), MS KB (CUM SE: Utilizați utilitarul Netdom exe pentru a redenumi un computer în Windows Server ) și MSDN Wm ComputerSystern Redenumire Testarea canalului securizat pe computer Problemă Doriți să testați canalul securizat al computerului specificat Soluţie Folosind interfața liniei de comandă > nltest /server; /ѣc ^eru: Un comentariu Fiecare computer care face parte dintr-un domeniu Active Directory stabilește un canal de comunicare securizat cu un controler de domeniu Parola pentru acest computer este stocată local sub forma unui secret LSA (Local Security Authority) și, de asemenea, în Active Directory Parola specificată este utilizată de serviciul NetLogon pentru a crea un canal securizat între computer și controlerul de domeniu Dacă, din orice motiv, secretul LSA și parola computerului sunt diferite, computerul va pierde capacitatea de a se autentifica la domeniu Folosind comanda nltest /sc query, un computer poate fi interogat pentru a se asigura că canalul său securizat funcționează Următorul este rezultatul acestei comenzi atunci când canalul rulează normal: Indicatori: HASJP HAS TIMESERV Nume DC de încredere Wdcl rallencorp com Starea stării conexiunii DC de încredere - x NERR Success Comanda a fost finalizată cu succes Dacă canalul nu funcționează, trebuie să reinstalați contul de computer, așa cum este descris în Rețeta Iată un exemplu de ieșire a comenzii nltest / scjquery când canalul este oprit: Steaguri: Despre Nume DC de încredere Starea stării conexiunii DC de încredere - x f ERROR NO LOGON SERVERS Comanda a fost finalizată cu succes Reinstalarea contului de computer Vezi si Rețeta vă spune cum să vă resetați contul de computer Consultați, de asemenea, MS KB (Resetarea conturilor de computer în Windows și Windows XP) Reinstalarea contului de computer Problemă Datorită faptului că canalul de comunicare al computerului nu funcționează, trebuie să-i reinstalați contul Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Active Directory Users and Computers Dacă doriți să schimbați domeniul, faceți clic dreapta pe Active Directory Users and Computere în panoul din stânga, selectați Connect to Domain din meniul contextual care se deschide, introduceți numele domeniului și faceți clic pe butonul OK În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Găsiți din meniul de comenzi rapide În caseta combo Find, selectați Computere (Computeres) Introduceți un nume de computer și faceți clic pe butonul Find Now În panoul cu rezultatele căutării, faceți clic dreapta pe numele computerului și selectați Resetare cont din meniul contextual Confirmați necesitatea reinstalării făcând clic pe butonul Da Faceţi clic pe butonul OK Reconectați computerul la domeniu Folosind interfața liniei de comandă Folosind utilitarul dsmod, puteți reseta parola computerului Computerul ar trebui apoi reconectat la domeniu > computer dsmod " " -resetare Alternativ, puteți lansa comanda netdom, care resetează contul computerului, astfel încât să nu fie nevoie să fie alăturat din nou la domeniu: letdom reset /Domain /UserO /PasswordO * Capitolul Calculatoare Folosind un script VBScript ' Acest cod resetează contul computerului, atribuindu-i o parolă ' este valoarea implicită După efectuarea acestei acțiuni ' trebuie să reconectați computerul la domeniu set objComputer = GetObjectCLDAP:// '") objComputer SetPassword " " Un comentariu Dacă descoperiți că canalul securizat al computerului nu funcționează, ar trebui să reinstalați contul acestuia, adică să atribuiți obiectului computerului o parolă care este utilizată implicit - numele computerului Aceasta este parola pe care o primește de obicei noul cont de computer La fiecare de zile, Windows și sistemele de operare ulterioare schimbă automat parolele computerelor care sunt membre ale domeniilor Odată ce ați setat o parolă, trebuie să vă reconectați computerul la domeniu deoarece nu mai poate comunica cu controlerul de domeniu din cauza unei parole nepotrivire Soluția de linie de comandă are avantajul că comanda netdom reset resetează parolele atât pe computer, cât și pe Active Directory în același timp, astfel încât, dacă reușește, nu mai este nevoie să reconectați computerul la domeniu Vezi si Rețeta este despre alăturarea unui computer la un domeniu, iar Rețeta - este despre testarea unui canal securizat Vă recomandăm să consultați MS KB (Resetarea conturilor computerului m Windows și Windows XP) și MS KB (CUM SE: UtilizațiNetdom exe pentru a reseta parolele contului de mașină ale unui controler de domeniu Windows Server ) Căutați computere inactive sau inactive Problemă Doriți să găsiți conturi de computer care nu s-au conectat la Active Directory pentru un anumit timp Soluția Folosind interfața liniei de comandă Toate computerele inactive din pădurea specificată vor ajuta la găsirea următoarei interogări: > dsquery computer forestroot -inactive Această soluție este aplicabilă numai computerelor care rulează sisteme de operare din familia Windows Alte computere care au conturi în Active Directory (de exemplu, cele care rulează Unix) ar putea să nu actualizeze atributele care stochează ora de conectare și parola care determină dacă computerul este activ Căutați computere inactive sau inactive Specificând opțiunea domainroot în combinație cu opțiunea -d, puteți interoga un anumit domeniu: > dsquery computer domainroot -d -Inactiv sau chiar adresați cererea unui anumit container: > dsquery computer ou=MyComputers dc-rallencorp dc=com -inactive NOTĂ - - Această comandă poate fi rulată numai dacă nivelul funcțional al domeniului este Windows Server Cu un script Perl #!perl # - # Configurare script # # Variabilei i se atribuie numele domeniului și containerului sau departamentului în care va fi # rulați n )căutați computere inactive tu Sdomain - 'amer ral encorp com'; # Variabila este setată la un șir gol, astfel încât căutarea să fie efectuată pe întregul domeniu acel $computer cont - *cn"Computere ': # Numărul de săptămâni în care computerele căutate au fost inactive acum $săptămâni - # # Încheiați configurația # folosiți strict; utilizați Kin OLE; $W n : OLE: Avertizare - folosește Math;:BigInt: # Convertiți valoarea lui $weeks ago într-un număr întreg mare # reprezentând numărul de secunde de comparat cu lastLogonTiroestamp su $sixmonth secs ■= ti te - * * * *$weeks ago; SHU SintObj - Math::B gInt->new($sixmonth secs); SintObj - Math ;BigInt->new($ ntObj->bmul(' ')); $sixmonth nt - Matematică: Biglnt->new( Sint bj->badd(' ')); Ssixmonthjnt-s/*[+-]//; # Conectați ADO the SconnObj - Win ::OLE->new('ADODB Connection'): SconnObj->{Provider} = "ADsDSOObject"; SconnObj->Open; ScommObj - W n ::OLE->nev"('ADODB Command'): ScommObj->{ActiveConnection} ■= SconnObj; ScommObj->Properties->{'Page Size*} - : # Definiți numele implicit al contextului de denumire SrootDSE - Win : : LE->Get bject("LDAP://$doma n/RootDSE''): SrootNC - SrootDSE->Get("defaultNanhngContext"): # Executați interogarea ADO și afișați rezultatele Capitolul Calculatoare interogare - " :"; Squery = "(&(clasa de obiecte-calculator)"; Interogați "(categoria obiect^calculator)"; Interogare - "(lastlogontimestamp {CormandText} - Interogare: su SresObj - ScommObj->Execute(Squery); die "Nu s-a putut interoga Sdomain: " $U n ::OLE::Last£rror "\n" cu excepția cazului în care ref SresObj; prinț "XnComputer care au fost inactive de $weeks acum săptămâni sau mai multeAn"; shu Stotal - ; în timp ce (!(SresObj->EOF)) { shu Sen - SresObj->F elds( )->value prinț "\t",SresObj->F elds("distinguishedName")->value "\n"; Total++; SresObj->MoveNext; } print "Total: $total\n": Un comentariu La soluție folosind interfața de linie de comandă Comanda dsquery computer este foarte utilă pentru a găsi computere care sunt inactive, adică computere care nu s-au alăturat domeniului de săptămâni sau luni Puteți trece rezultatele unei interogări pe care o executați cu ea la comanda dsrm și toate se potrivesc obiectele computerului vor fi imediat eliminate din Active Directory Iată cum puteți șterge conturile tuturor computerelor care nu s-au alăturat unui domeniu de săptămâni sau mai mult: > pentru /F "usebackq" Si in ('dsquery computer domainroot -inactive ') do dsrm Xi Dacă nu este absolut necesar, nu trebuie să ștergeți conturile de computer care au fost inactive de mai puțin de trei luni Cel mai indicat este să efectuați îndepărtarea după un an, adică după de săptămâni Către o soluție de script Perl În Windows , singura modalitate de a determina dacă un computer este activ este de a examina valorile atributelor pwdLastSet și lastLogon ale contului său Primul, pwdLastSet, este un număr întreg pe de biți care reprezintă data și ora la care parola computerului a fost schimbată ultima dată Deoarece parolele computerului trebuie schimbate la fiecare de zile, faptul că o parolă rămâne aceeași timp de câteva luni înseamnă că computerul nu este folosit Este dificil să faci această verificare în VBScript, deoarece nu "tratează" foarte bine numerele întregi pe de biți Există biblioteci terțe care oferă funcții pe de biți, dar funcțiile VBScript standard nu funcționează cu acele numere Al doilea atribut, lastLogin, conține, de asemenea, un număr întreg pe de biți care reprezintă data și ora la care computerul s-a alăturat ultima dată domeniului Din păcate, acest atribut nu este replicat Prin urmare, pentru a determina ora celei mai recente conexiuni a unui computer la domeniu, trebuie să interogați toate Modificarea numărului maxim de computere controlori ai acestui domeniu, ceea ce, desigur, nu este foarte convenabil, mai ales dacă există destul de puțini controlori Windows Server a introdus un nou atribut numit lastLogonTimestamp Face parte din obiectele utilizator și computer și conține timpul aproximativ la care utilizatorul sau computerul s-a conectat ultima dată la domeniu (din nou ca un întreg pe de biți), dar spre deosebire de atributul , astLogl este replicat tuturor controlerelor de domeniu Acest atribut este actualizat numai dacă nu s-a schimbat într-o anumită perioadă de timp, să zicem o săptămână, pentru a preveni replicarea prea des și determinând creșterea traficului Deci, Perl este ales pentru această rețetă Și după cum am menționat deja, nu există o problemă care să nu poată fi rezolvată cu ajutorul ei Hc este o excepție și această sarcină Pentru a efectua operații pe numere întregi mari, Perl are un modul special numit Math::BigInt Primul pas din scriptul de mai sus este de a calcula numărul de secunde care au trecut din până la data la care computerul a fost verificat pentru activitate (data curentă minus numărul specificat de săptămâni) Rezultatul este convertit într-un număr întreg mare, după care rămâne doar executarea unei cereri ADO pentru a obține o listă de computere a căror valoare de atribut lastLogonTimestamp nu depășește numărul specificat Vezi si Rețeta (Capitolul ) vă spune cum să găsiți conturi de utilizator care expiră după o anumită perioadă de timp Modificați numărul maxim de computere pe care un utilizator poate să se alăture unui domeniu Problemă În mod implicit, unui utilizator i se permite să se alăture unui domeniu de maximum computere Trebuie să modificați această setare Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Faceți clic dreapta pe obiectul domainDNS care reprezintă domeniul în care doriți să instalați și selectați Proprietăți din meniul contextual care se deschide Editați valoarea atributului ms-DS-MachineAccountQuota introducând o nouă valoare de cotă Faceți dublu clic pe butonul OK Capitolul Calculatoare Folosind interfața liniei de comandă Creați un fișier LDIF denumit change computer quota ldf care conține următorul cod, unde ar trebui să fie înlocuit cu numele domeniului pentru care doriți să setați noua instalare și cu noua cotă de computer: dn: changetype: modificare înlocuiți: ms-DS-MachineAccountQuota ms-DS-MachineAccountQuota: Apoi rulați următoarea comandă: > Idifde -v -i -f change computer quota ldf Folosind un script VBScript * Acest cod stabilește o cotă pentru numărul de computere pentru domeniu * alăturat de un utilizator * - CONFIGURARE SCRIPT - intQuota - strDomain - "ONS domain name>" ' De exemplu: emea rallencorp com * - SFÂRȘIT CONFIGURARE set objRootDSE = GetObject("LDAP://" & strDomain & "/RootDSE") set objOomain = GetObject("LDAP://" & objRootDSE Get("defaultNamingContext")) objOomain Put "ms-DS-MachineAccountQuota" intQuota objOomain SetInfo KScript Echo "Cota de utilizator actualizată la " & intQuota Un comentariu După cum sa menționat deja, în mod implicit, membrii grupului de Utilizatori Autentificați (Autentificați) se pot alătura domeniului până la computere De asemenea, reamintim că conturile de computer se află în mod implicit în containerul Calculatoare Numărul specificat de conturi este definit în atributul ms-DS-MachineAccountQuota al obiectului domalnDNS Este ușor să îl schimbați cu orice alt număr, în special Dacă setați atributul ms-DS-MachineAccountQuota la , va trebui să acordați utilizatorilor permisiuni explicite pentru a alătura computerele la domeniu (consultați Rețeta pentru cum să procedați acest) Există o altă modalitate de a acorda utilizatorilor permisiunea de a conecta computere la un domeniu, deși acest lucru nu este recomandat Această metodă se bazează pe utilizarea politicii de grup Dacă extindeți filiala Configurare computer ► Setări Windows ► Setări de securitate ► Politici locale ► Atribuire drepturi utilizator din Editorul de politici de grup și faceți dublu clic pe Adăugare stație de lucru la stații de lucru cu permisiunea de domeniu în domeniu), se va deschide o fereastră în care puteți specifica utilizatorii sau grupurile cărora doriți să le acordați această permisiune Utilizatorii care îl primesc pot crea conturi de computer chiar dacă nu au permisiunea de a crea obiecte copil în utilizator Găsirea conturilor de computer implicit în containerul Computers Această caracteristică este furnizată pentru compatibilitatea cu Windows NT, dar cel mai bine este să nu o utilizați decât dacă este absolut necesar Vezi si Rețeta vă spune ce permisiuni trebuie să aveți pentru a conecta un computer la un domeniu Consultați MS KB (Utilizatorii domeniului nu se pot alătura stației de lucru sau serverului la un domeniu) și MS KB ("Ați depășit numărul maxim de conturi de computer" Mesajul de eroare când încercați să conectați un computer Windows XP la un domeniu Windows ) Găsirea conturilor de computer care rulează un anumit sistem de operare Problemă Este necesar să găsiți în domeniu conturile computerelor care rulează un anumit sistem de operare (versiunea specifică a acestuia) cu versiunea specificată a pachetului de servicii Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați Conexiune ► Conectare În câmpul Server, introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți Faceți clic pe butonul OK Selectați comanda Conexiune ► Bmd (Conexiune ► Conectare) Introduceți numele de utilizator și parola, apoi faceți clic pe butonul OK Alegeți comanda Răsfoire ► Căutare (Căutare ► Găsiți) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al obiectului de la care să începeți căutarea În câmpul Filtru, specificați o specificație de filtru care include atributul sistemului de operare pentru a filtra după De exemplu, pentru a găsi conturile tuturor computerelor care rulează Windows XP, utilizați filtrul (&(objectclass-computer)(objectcategory-coniputer)(operatingSysteni"Windows XP Professional)) Capitolul Calculatoare Specificați o zonă de căutare adecvată În continuare, dacă doriți să personalizați lista de atribute care vor fi returnate pentru fiecare obiect găsit, faceți clic pe butonul Opțiuni Faceți clic pe butonul Run și rezultatele căutării vor fi afișate în panoul din dreapta Folosind interfața liniei de comandă > dsquery * -scope subtree -attr -filter "(&(objectclass=J computer)(objectcategory-computer)(operațingSystenrtUndows Server ))" Folosind un script VBScript ' Acest cod găsește computere care au Service Pack instalat ' - CONFIGURARE SCRIPT strBase - " aa dlsded c -fd d cd , este numele distinctiv al domeniului Faceți clic pe OK și containerul implicit pentru stocarea conturilor de computer va fi afișat în partea stângă Folosind interfața liniei de comandă Utilitarul netdom oferă doar posibilitatea de a seta numele computerului, nu containerul părinte În astfel de cazuri, se folosește de obicei containerul implicit Folosind un script VBScript Acest cod arată cum să faceți referire la containerul de obiecte computer PE implicit în scripturi ' - CONFIGURARE SCRIPT - strDomain - " " ) WScript Echo objCompContainer Get("nume distinctiv") Un comentariu Fiecare domeniu Active Directory are mai multe obiecte importante care trebuie să fie "rezistente la redenumire" Cu alte cuvinte, redenumirea unor astfel de obiecte nu ar trebui să afecteze funcționarea aplicațiilor în care sunt utilizate Pentru a oferi o redenumire sigură, Microsoft a dezvoltat o tehnologie numită grupare WKGUID Această tehnologie vă permite să setați în aplicație nu numele obiectelor, ci GUID-urile standard ale acestora, numite WKGUID-uri (Well Known GUIDs - a well-known GUID) De exemplu, iată WKGUID-ul containerului implicit Computers: aa dladed c fd d cd Folosind acest identificator, vă puteți referi la containerul implicit al obiectelor computerului - pentru care trebuie doar să setați valoarea atributului ADsPath: LDAP: /f Lista obiectelor de domeniu care au WKGUID este conținută în atributul wel KnownObjects al obiectului domainDNS al domeniului respectiv Acest atribut are mai multe valori și are sintaxa DNW thBinary O valoare posibilă pentru atributul wellKnownObjects pentru domeniul rallencorp com este dată mai jos: B: :AA D ADED C FD D CD:CN=Ccmputers DC=ral encorp,DOcom; Q: :F E A C E E D DB:CN=Microsoft CN-Program Data DC-ral encorp DC-com: B: : C AE E A EAOF AEE DAA E A:CN-Program Data DOral encorp DOcom; La: : B C D E EFB E FCA DC AA: CN=ForeignSecurityPrinciple s DOrall encorp DOcom; B; : E EA F D B AAOOC F F : CN-Obiecte șterse DOral encorp DOcom; Q: : FBAC ADE D C C FD D CD: COI nf restructura DC-ral encorp DOcom; B: :AB B D ADED C FD D CD:CN-LostAndFound DOral encorp DC-com; B: :AB D F D ADED C FD D CD:CN-System DC-ral encorp DOcom; B: :A B FFFFD D AA B OC FD D A:OODcmain Control ers DOral encorp DOcom: B: : A D CA D ADED C FD D CD: CN-Utilizatori DOral encorp DOcom; Fiecare dintre componentele acestei valori are formatul B- NumberofBytes: GUID: Di sti ngui shedName După cum puteți vedea, GUID-ul primei valori este același cu atributul ADsPath de mai sus, care este destinat să fie asociat cu containerul de obiecte computer implicit Înlocuirea containerului de obiecte computer implicit Vezi si Rețeta - vă spune cum să schimbați containerul implicit pentru stocarea obiectelor computerului Citiți documentul MSDN: Legarea la obiecte binecunoscute folosind WKGUID Înlocuirea containerului de obiecte computer implicit Problemă Trebuie să schimbați computerul implicit al containerului de obiecte Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați comanda Conexiune ► Conectare din meniul acesteia În câmpul Server, introduceți numele controlerului de domeniu (dacă îl lăsați necompletat, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Selectați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola pentru acest domeniu, apoi faceți clic pe butonul OK Selectați comanda Răsfoire ► Modificare (Căutare ► Modificare) În câmpul DN (Nume distinctiv), introduceți numele distinctiv al obiectului domainDNS care reprezintă domeniul în care doriți să schimbați containerul implicit al obiectului computerului În câmpul Attribute, introduceți wellKnownObjects În câmpul Valori, introduceți B: :AA Dl)iDED C FD D CD:CN-Canpu-ters, , unde este numele distinctiv introdus în câmpul DN I Selectați Ștergere pentru comanda Operation și apăsați tasta Enter După aceea, reveniți din nou la câmpul Valori și introduceți următoarele: B: : AA D ADED C FD D CD: OU Domains>, unde este numele containerului părinte în care vor fi acum create noi obiecte computer (de exemplu, ou=RAl enCorp Computers) Selectați comanda Add for Operation și apăsați tasta Enter Faceți clic pe butonul Run și rezultatele operației vor fi afișate în panoul din dreapta Capitolul Calculatoare Folosind interfața liniei de comandă > redircmp " " Folosind un script VBScript ' Acest cod modifică containerul implicit pentru obiectele computerului • - CONFIGURARE SCRIPT - strNewComputersParent - " " ' De exemplu: U-RA enCorr Computers strDomain - " " ' De exemplu: rallencorp com -TERMINARE CONFIGURARE Const CCMPUTER WKGUID - "B: :AA D ADEDOOOC FD D CD:" ' Din enumerarea ADS PROPERTY OPERATIW ENUM Const ADS PROPERTY APPEND = Const ADS PROPERTY DELETE = set objRootDSE = GetObjectCLDAP://" & strDomain & "/RootDSE") set objDomain - GetObjectCLDAP:// ' & objRooiDSE GetC'defaultNamingContext")) set objCompWK - GetObjectCLDAP://" & " ") objDomain PutEx ADS PROPERTY DELETE "Obiecte binecunoscute" Matrice( COMPUTER UKGUID & objCoplpWK GetCdistinguishedName,,)) objDomain PutEx ADS PROPERTY APPEND "Obiecte binecunoscute" Array( COMPUTERJm'KGUID & st NewComputersParent & V & objRootDSE GetCdefaul tNami ngContext") ) objDomain SetInfo WScript Echo "Container nou implicit pentru computere setat la " & st NewComputersParent Un comentariu Containerul Computers din partiția rădăcină a domeniului este destinat să stocheze obiecte computer, dar majoritatea administratorilor Active Directory nu îl folosesc în acest scop Motivul pentru aceasta este că acest container nu este o unitate organizațională și, prin urmare, politica de grup nu i se poate aplica Dacă preferați, de asemenea, să stocați obiecte computer în altă parte, este logic să schimbați containerul implicit pentru aceste obiecte, astfel încât aplicațiile să le poată găsi după binecunoscutul ID de container Printre altele, acest lucru va ajuta la prevenirea apariției conturilor de computer în Active Directory care nu au o politică de grup definită de dvs Pentru mai multe informații despre modul în care Active Directory definește identificatorii de obiect bine-cunoscuți, consultați Rețeta Vezi si Document MS KB (Redirecționarea containerelor utilizatorilor și computerelor în domeniile Windows Server ) Obiecte de politică de grup , Introducere Obiectele de politică de grup (GPO) Active Directory pot fi utilizate pentru a configura o mare varietate de setări ale mediului de operare pentru utilizatori și computer În plus, ele ajută la automatizarea procesului de instalare a aplicațiilor, oferă protecție computerului, execută scripturi de conectare și deconectare etc Un GPO poate fi asociat cu un grup de securitate, unitate organizațională, site sau domeniu, adică cu un domeniu de control specific (Scope of Management, SOM) În acest caz, este utilizat atunci când se efectuează toate operațiunile legate de utilizatorii sau computerele incluse în această zonă Actul de a atribui un GPO unui anumit domeniu de control se numește legarea acestuia În Windows Server , este posibil să se limiteze domeniul de aplicare a unui GPO utilizând filtrul WM Acest filtru este o solicitare WMI (Windows Management Instrumentation - Windows Management Infrastructure) pentru informații despre computerul client Dacă cererea returnează date, GPO-ul este procesat; în caz contrar, nu este procesat Astfel, puteți nu numai să asociați GPO-uri cu orice zone de management, ci și să decideți, pe baza informațiilor despre computerul client, dacă are sens să aplicați GPO-ul în fiecare caz specific Un GPO este o structură de date din două părți Primul dintre acestea, numit Container de politici de grup, este stocat în Active Directory ca obiect groupPolicyContainer situat în containerul cn=Policies cn=System Obiectele groupPolIcyContainer (asociate cu unități organizaționale, site-uri și domenii) conțin informații legate de instalarea software-ului A doua parte a GPO, numită șablon de politică de grup, este stocată pe sistemul de fișiere al fiecărui controler de domeniu în fișierele șablon de politică de grup (GPT) situate în %System-Root°/o\SYSVOL\sysvol\ \ Politici De ce este GPO stocat în două locuri? Necesitatea unei reprezentări de obiect Active Directory a Politicii de grup este evidentă: pentru a putea asocia un GPO cu alte tipuri de obiecte, acesta trebuie el însuși Capitolul Obiecte de politică de grup fi reprezentat de un obiect Active Directory Ei bine, nevoia de a stoca datele GPO în sistemul de fișiere se datorează faptului că clienții folosesc mecanisme ale sistemului de fișiere pentru a stoca și procesa GPO-uri; în plus, trebuie să organizați suportul pentru folderul NETLOGON, care este folosit pentru a asigura compatibilitatea cu versiunile anterioare de Windows ♦ Managementul obiectelor politicii de grup În Windows , capabilitățile oferite de obiectele de politică de grup erau foarte largi, dar instrumentele eficiente pentru gestionarea acestora lipseau în mod clar Modul în care informațiile GPO au fost stocate așa cum este descris mai sus a creat o mulțime de probleme În primul rând, Microsoft nu a furnizat o interfață de programare pentru lucrul cu aceste obiecte În al doilea rând, nu existau mijloace de a le copia din mediul de depanare în cel de producție Instrumentul principal pentru gestionarea GPO-urilor a fost Editorul de politici de grup (GPE), numit acum Editor de obiecte de politici de grup (GPOE) Scopul său principal este de a edita setările GPO; Editorul nu oferă alte opțiuni pentru gestionarea acestor obiecte Microsoft a înțeles că aceste neajunsuri împiedicau implementarea politicilor de grup și, prin urmare, a dezvoltat Consola de gestionare a politicilor de grup (GPMC) Această consolă este implementată ca un snap-in MM C cu un set complet de funcții de management GPO: cu ajutorul ei, acestea pot fi create, șterse, importate, copiate, copiate de rezervă, restaurate și simulate (emulate) Și mai ales important este faptul că API-ul este instalat simultan cu consola, cu ajutorul căreia toate acțiunile enumerate pot fi efectuate programatic NOTĂ - - Singura caracteristică importantă care nu a fost încă implementată în GPMC este capacitatea de a modifica direct setările GPO folosind editorul GPOE Cu toate acestea, consola are o serie de funcții pentru migrarea GPO-urilor, ceea ce vă permite să rezolvați multe dintre problemele grave cu care se confruntă administratorii Active Directory Complementul GPMC poate fi descărcat de la http://www microsoft com/windowsserver /gpmc/default mspx Este nevoie de Windows Server sau Windows XP SP cu remediere rapidă Q și NET Framework pentru a rula corect; în Windows , snap-in-ul nu funcționează GPMC poate gestiona GPO-uri Windows , dar trebuie să ruleze pe una dintre platformele de mai sus Multe dintre soluțiile prezentate în acest capitol presupun utilizarea snap-in-ului GPMC Mai mult, ar fi imposibil de rezolvat majoritatea problemelor descrise aici fără rulmenți Din acest motiv, este foarte de dorit să instalați instalația și să o studiați bine Cele mai multe dintre soluțiile de linie de comandă prezentate aici folosesc scripturi care sunt instalate cu GPMC Această consolă vine cu multe scripturi gata făcute, Găsirea unui GPO într-un domeniu scris parțial în VBScript și parțial în JavaScript Pe de o parte, sunt un set de instrumente puternic cu o interfață de linie de comandă și, pe de altă parte, sunt un exemplu de programare a operațiunilor pe GPO Implicit, aceste scripturi se află în directorul %Prog-ramFiles%\GPMC\scripts și există două moduri de a le rula În primul rând, acest lucru se poate face folosind comanda cscript: > cscript listallgpos wsf În al doilea rând, dacă programul implicit cscript este folosit ca interpret WSH, fișierele script pot fi rulate direct Pentru a atribui un program cscript ca interpret, trebuie să rulați comanda: > cscript //N:cscript Documentația completă GPMC este disponibilă în fișierul gpmc chm aflat în directorul %ProgramFiles%\GPMC\scripts și, de asemenea, pe MSDN (http://msdn microsoft com/) Găsirea unui GPO într-un domeniu Problemă Doriți să găsiți toate GPO-urile care există într-un anumit domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți containerul Forest, iar în el, containerul Domains Găsiți domeniul care vă interesează Deschideți containerul Obiecte de politică de grup și veți vedea o listă completă de GPO pentru domeniul selectat Folosind interfața liniei de comandă > listallgpos wsf [/domain -donenname>] [/v] Lista de GPO poate fi afișată în alt mod: > gpotool [/dotaip: ] [/verbose] Folosind un script VBScript Acest cod listează GPO-urile domeniului dat ' CONFIGURARE SCRIPT strDomain - " " ' Napriner: rallencorp com ' TERMINAREA CONFIGURĂRII set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) Capitolul Obiecte de politică de grup ' Inițializați obiectul Domain set objGPMDoma' creategpo wsf Folosind un script VBScript ' Acest cod creează un GPO gol ■ CONFIGURARE SCRIPT - strGPO - " " ' De exemplu: GPO de vânzări strDomain - "OH -inyau omena>" ' De exemplu: rallencorp,corn ' TERMINAREA CONFIGURĂRII - set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPKDomain = objGPM GetDomainCstrDomain objGPMConstants UseAnyOC) Creați un GPO și afișați rezultatele set objGPO - objGPHDomain CreateGPO( ) WScript Echo "GPO creat cu succes" objGPO DisplayName - strGPO WScrlpt Echo "Setează numele GPD la" și strGPO Un comentariu Un GPO creat cu snap-in-ul GPMC va fi inițial gol, fără setări sau asocieri configurate Consultați Rețeta pentru cum să modificați setările unui GPO și Rețeta pentru cum să îl conectați la un domeniu de control Folosind un script VBScript Pentru a crea un GPO în mod programatic, primul pas este să creați un obiect GPMDomain care reprezintă domeniul care va găzdui noul GPO Această operație se realizează folosind metoda GPM GetDomain, după care nu rămâne decât să apelezi metoda GPMDomain CreateGPO fără parametri, care creează un GPO gol Această metodă returnează un obiect GPM GPO, din care scriptul citește și tipărește numele GPO Vezi si MS Docs KB (CUM PENTRU: Identificați obiectele politicii de grup în Active Directory și SYSVOL) și MSDN: GPMDomain CreateGPO Copierea unui GPO Problemă Doriți să creați un nou GPO care conține o copie a proprietăților și setărilor obiectului specificat Capitolul Obiecte de politică de grup Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO-ul sursă și containerul Group Policy Objects Faceți clic dreapta pe GPO sursă și selectați Copiere (Copiere) din meniul contextual care se deschide Faceți clic dreapta pe containerul Group Policy Objects (Group Policy Objects) și selectați comanda Paste din meniul contextual Specificați ce permisiuni - utilizate implicit sau deja setate - doriți să aplicați și faceți clic pe butonul OK Se va deschide o casetă de mesaj pentru a indica dacă copia a avut succes Faceți clic pe butonul OK și fereastra se va închide Redenumiți obiectul nou creat folosind comanda Redenumire din meniul său contextual Folosind interfața liniei de comandă > copygpo wsf Folosind un script VBScript ' Acest cod creează o copie a GPO • - CONFIGURARE SCRIPT strSourceGPO - " " ' De exemplu: SalesGPD strNenGPO = " '' ' De exemplu: GPO de marketing strDomain = " " ' De exemplu: rallencorp com ' - TERMINAREA CONFIGURĂRII - set objGPM = CreateObject ("GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPMDomain = objGPM GetDomain(strDomain objGPMConstants UseAnyDC) Căutați GPO-ul original setați objGPMSearchCriteria ■= objGPM CreateSearchCriteria a objGPMSearchCriteria Add objGPMConstants SearchPropertyGPODi splayName objGPMCostants SearchOpEqua s estr(strSourceGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) dacă objGPOList Count = atunci WScript Echo "Nu am găsit GPO: " și strGPO WScript Echo "Ieșire" WScript Ieșire el seif objGPOList Count > then WScript Ecno "S-au găsit mai multe GPO potrivite Număr: " & objGPOList Count WScript Echo "Se iese" WScript Ieșire Copierea unui GPO altfel WScript Echo "GPO găsit: " și objGPOList Item(l) DisplayName sfârşitul dacă ' Copiați din GPO original în noul set de obiecte objGPMResult - objGPOList Item(l) CopyToCO, objGPMDomain strNewGPO) • Dacă apare o eroare în timpul operaţiei ' se va face o excepție la eroare reluați în continuare objGPMResult OverallStatusC ) dacă objGPMResult Status Count > atunci WScript Echo "Mesaje(e) de stare:" și objGPMResult Status Count pentru i - la objGPMResult Status Count WScript Echo objGPMResult Status Itemd) Mesaj Următorul WScript Echo vbCrLf sfârşitul dacă ' Rezultate rezultate dacă Err Number <> atunci WScript Echo "Eroare la copierea GPO" WScript Echo "Eroare: " & Err Description altfel WScript Echo "Copiere cu succes în " & strNewGPO & " sfârşitul dacă Un comentariu Până la introducerea snap-in-ului GPMC, una dintre provocările asociate cu gestionarea GPO-urilor pe rețele mari a fost mutarea acestora prin păduri Foarte des, administratorii folosesc o pădure de testare unde pot crea și configura GPO-uri, le pot testa și apoi le pot aduce în producție Aici apare problema: cum să le muți? Problema poate fi rezolvată de Consola de management al politicii de grup, care presupune posibilitatea de a copia un GPO de la un domeniu la altul și chiar în alte păduri Puteți copia un GPO din pădure în pădure doar dacă există o relație de încredere între cele două domenii (sau păduri) Dacă nu există o astfel de relație, puteți importa GPO - această operațiune este similară cu copierea, dar nu necesită o relație de încredere Pentru detalii despre importarea GPO-urilor, consultați Rețeta Unele proprietăți ale GPO-urilor, cum ar fi cele care definesc filtre bazate pe apartenența la grupul de securitate și pe căile UNC (Convenția universală Nanung - Convenția de denumire comună), pot varia în funcție de domenii În acest caz, este convenabil să folosiți tabelul de migrare GPMC, care conține informațiile necesare pentru a muta elementele specificate în domeniul de destinație Consultați fișierul de ajutor GPMC pentru detalii despre tabelele de relocare Capitolul Obiecte de politică de grup Către o soluție VBScript Înainte de a putea copia un GPO, trebuie să găsiți unul În acest scop, scriptul de mai sus folosește un obiect GPM-SearchCriteria pentru a seta numele afișat al obiectului de căutat Operatorul sei f el se asigură că în urma căutării este returnat un singur obiect Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Apoi, având la dispoziție obiectul GPMGPO, puteți copia GPO-ul folosind metoda GPMGPO CopyTo Primul parametru al acestei metode este un set de steaguri care indică modul în care trebuie gestionate permisiunile obiectului sursă O valoare de corespunde utilizării setărilor implicite, alte valori sunt descrise în fișierul de ajutor al snap-in-ului GPMC Al doilea parametru specifică un obiect GPMDomain care reprezintă domeniul în care ar trebui copiat GPO Ultimul parametru trebuie să conțină numele afișat al noului GPO Vezi si Rețeta este despre importarea GPO-urilor De asemenea, consultați documentul MSDN: GPMGPO CopyTo Ștergerea unui GPO Problemă Doriți să ștergeți un GPO din Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află obiectul de șters și, în final, containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați Ștergere din meniul contextual care se deschide Faceți clic pe butonul OK pentru a confirma că doriți să ștergeți obiectul specificat Folosind interfața liniei de comandă > deletegpo wsf [/domain: ] Folosind un script VBScript Egotkov Șterge GPO-ul specificat ' CONFIGURARE SCRIPT - strGPO - " a ' De exemplu: Mu New GPO u h ștergerea unui GPO strDomain - " " ' De exemplu: rallencorp com • -CONFIGURAȚIA EI - set objGPM = CreateObjectCGPMgmt GPM") set objGPMConstants = objGPM GetConstantsC ) ' Inițializați obiectul Domain set objGPMDomain - objGPM GetDomaintstrDomain objGPMConstants UseAnyDC) * Căutare GPO setați objGPMSearchCriteria - objGPM CreateSearchCriteria un objGPMSearchCriteria Add objGPMConstants SearchPropertyGPODisplayName objGPMConstants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPDs(objGPMSearchCriteria) if objGPOList Count - O atunci WScrlpt Echo "Nu am găsit GPO: " & strGPO WScript Echo "Se iese" WScript Ieșire el seif objGPOList Count > then WScrlpt Echo "S-a găsit mai mult de un GPO potrivit Numara: "& objGPOList Count WScrlpt Echo "Ieșire" WScript Ieșire altfel WScrlpt Echo "GPO găsit: " și objGPOList Item(l) DisplayName sfârşitul dacă ' Ștergerea unui GPO objGPOL i st Item( ) Delete WScript Echo "GPO șters cu succes: " și strGPO Un comentariu Când un GPO este șters, snap-in-ul GPMC încearcă să găsească toate asociațiile sale din domeniu și să le elimine dacă utilizatorul are permisiunea corespunzătoare Dacă utilizatorul nu are dreptul de a șterge asocierile GPO, obiectul va fi șters iar asociațiile vor rămâne, dar vor fi invalide În ceea ce privește linkurile externe acestui domeniu, toate vor fi păstrate (dar și devin invalide) Astfel, înainte de a șterge un GPO, este recomandabil să revizuiți linkurile acestuia În GPMC, linkurile către GPO-uri șterse sunt marcate ca Negăsit Către o soluție VBScript Pentru a căuta GPO de șters, scriptul folosește obiectul GPMSearchCriteria pentru a specifica numele afișat al obiectului de căutat Folosind instrucțiunea if elseif else, vă puteți asigura că un singur obiect este returnat ca rezultat al căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul pur și simplu nu mai funcționează Se șterge un obiect folosind metoda GPMGPO Delete Capitolul Obiecte de politică de grup Vezi si Rețeta vă spune cum să vizualizați asocierile GPO Vă recomandăm să consultați și documentul MSDN: GPMGPO Delete Vizualizarea setărilor obiectului politicii de grup Problemă Doriți să vedeți setările setate în GPO Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care sunteți interesat obiectul și containerul Group Policy Objects (Group Policy Objects) Faceți clic pe GPO În panoul din dreapta, faceți clic pe fila Setări Pentru a afișa toate setările configurate, selectați comanda Show AP din meniul contextual Folosind interfața liniei de comandă > getreportsforgpo wsf " " [/donaig\: ] Folosind un script VBScript ' Acest cod generează un raport HTML conţinând valorile tuturor Proprietăți și setări GPO * - CONFIGURARE SCRIPT - StrGPO - " ' ' De exemplu: GPO de vânzări strDomain - "ONZ-Donen-Name^ ' De exemplu: rallencorp com strReportFile - ,' '' ' De exemplu: c \gpo report html ' - END CONFIGURATION - set objGPM - CreateObjectCGPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) Inițializare obiect de domeniu set objGPMDomaln - objGPM GetDomaintstrDomain objGPMConstants UseAnyOC) set objGPMSearchCntena - objGPM CreateSearchCriteria objGPMSearchCriteria Adaugă objGPMCostants SearchPropertyGPODIsplayName objGPMCostants SearchOpEquals cstr(strGPO) set objGPOList - objGPMOomain SearchGPOs(objGPMSearchCriteria) if objGPOLIst Count - atunci gb i pentru a vedea setările politicii de grup oooka ZS WScrlpt Echo "Nu am găsit GPO " & strGPO WScrlpt Echo "Exlting" WScript Ieșire el seif objGPOList Count > then WScrlpt Echo "S-au găsit mai mult de un GPO potrivit Număr: " & objGPOList Count WScrlpt Echo "Ieșire" WScript Ieșire el se WScrlpt Echo "GPO găsit" și objGPOList Item(l) DisplayName sfârşitul dacă set objGPMResult - objGPOList Item(l) GenerateReportToFile( objGPMConstants ReportHTML, strReportFile) ■ Dacă apare o eroare în timpul operațiunii, va fi lansată o excepție în cazul reluării erorii următoare objGPMResult OverallStatus( ) f objGPMResult Status Count > atunci WScript Echo "Mesaje(e) de stare:" și objGPMResult Status Count pentru - la objGPMResult Status Count WScrlpt Echo objGPMResult Status Item(i) Message Următorul WScript Echo vbCrLf sfârşitul f * Rezultate de ieșire f Err Numărul o atunci WScript Echo "Eroare la generarea raportului" WScrlpt Echo "Eroare: " & Descriere Err el se WScrlpt Echo "Raportat salvat în " & strReportFile sfârşitul dacă Un comentariu Complementul GPMC poate genera un raport XML sau HTML al tuturor setărilor pentru un anumit GPO Modul de modificare a acestor setări este descris în Rețeta Folosind un script VBScript Pentru a afișa setările unui anumit GPO, trebuie mai întâi să îl găsiți Pentru a face acest lucru, scriptul de mai sus utilizează obiectul GPMSearchCriteria pentru a specifica numele afișat al obiectului de căutat Folosind operatorul i f el sei f el se, vă puteți asigura că este returnat un singur obiect ca rezultat al căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Apoi, folosind metoda GPMGPO GenerateReportToFile, este generat un raport care conține setările GPO Primul parametru al acestei metode specifică tipul de raport (XML sau HTML), iar al doilea parametru specifică calea către fișierul raport Capitolul Obiecte de politică de grup Vezi si MSDN Document GPMGPO GenerateReportToFile Modificarea setărilor unui GPO Problemă Trebuie să modificați setările GPO Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domenii în care se află obiectul de interes și, în final, containerul Group Policy Objects (Group Policy Objects) Faceți clic dreapta pe GPO și selectați Editare din meniul contextual Se deschide Editorul de obiecte de politică de grup Examinați setările din Configurare computer sau Configurare utilizator și editați-le Folosind CLI sau VBScript Setările GPO nu pot fi modificate folosind interfața de linie de comandă sau prin programare, dar pot fi copiate și importate Cum mai exact, veți învăța din rețetele și Un comentariu Singura caracteristică pe care GPMC-ul care vine cu AP nu o acceptă este schimbarea setărilor unui GPO Această sarcină este încă efectuată utilizând Editorul de politici de grup GPOE, cu toate acestea, editorul însuși este încărcat din GPMC așa cum se arată în soluția bazată pe GUI Lipsa unui mijloc de a modifica în mod programatic setările politicii de grup este, desigur, un inconvenient, în special în rețelele mari în care trebuie să gestionați GPO-uri în mai multe păduri Puteți utiliza copierea sau importarea GPO-uri pentru a migra setările într-o altă pădure Importul setărilor obiectului de politică de grup Vezi si Rețeta - este despre copierea GPO-urilor, Rețeta - este despre vizualizarea setărilor din ele, iar Rețeta - este despre importarea acestor setări Importul setărilor obiectului de politică de grup Problemă Trebuie să importați setările dintr-un GPO Active Directory în altul Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, apoi domeniul în care se află obiectul în care doriți să importați setările și, în final, containerul Group Policy Objects (Group Policy Objects) Faceți clic dreapta pe GPO și selectați Setări de import din meniul contextual care se deschide Faceți clic pe butonul Următorul Dacă doriți să creați o copie de rezervă a obiectului în care doriți să importați setările, faceți clic pe butonul Backup Faceţi clic pe butonul Următorul Selectați un folder pentru obiectul de care să faceți backup și faceți clic pe butonul Următorul Specificați copia de rezervă a obiectului din care să importați și faceți clic pe butonul Următorul Programul va verifica dacă obiectul importat conține date despre participanții sistemului de protecție sau despre calea UNC Dacă este cazul, vi se va oferi posibilitatea de a modifica aceste date dacă este necesar Faceți mai întâi clic pe butonul Următorul și apoi pe butonul Terminare Folosind interfața liniei de comandă > Importgpo wsf "Backup Location>" " " " " Capitolul Obiecte de politică de grup Folosind un script VBScript "Acest cod importă setările dintr-o copie de rezervă a unui GPO" într-un alt GPO • - CONFIGURARE SCRIPT strGPOImportTo - " " ' De exemplu: GPO de vânzări strDomaln - "ONS-inya ronen>" ' De exemplu rallencorp com strBackupLocation - "backup location>" ' De exemplu: cu \GPMC Backups ' GUID care reprezintă o copie de rezervă specifică ■ De exemplu: { E B B-C B- FF- B- A FF} strBackupID este " " '- TERMINAREA CONFIGURĂRII " set objGPM - CreateObjectCGPMgmt GPM') set objGPMConstants - objGPM GetConstants( ) > NLvONKTEH dT ' Inițializați obiectul Domain set objGPMDomain - objGPM GetOomain(strDomain objGPMConstants UseAnyDC) ' Căutați GPO Backup set objGPMBackupDir - objGPM GetBackupD r(strBackupLocation) set objGPMBackup - objGPMBackupDir GetBackup(strBackupID) WScrlpt Echo "Backup găsit:" WScrlpt Echo "ID" și objGPMBackup ID WScrlpt Echo "Stampă de timp" și objGPMBackup Stamp de timp WScrlpt Echo " ID GPO " și GPOID objGPMBackup WScrlpt Echo *' Nume GPO: " & objGPMBackup GPODisplayName WScrlpt Echo " Coninent " și objGPMBacup Comentariu WScrlpt Echo ' Căutați GPO-uri care vor fi importate set objGPMSearchCriteria - objGPM CreateSearchCriteri și objGPMSearchCriteria Add objGPMConstants SearchPropertyGPODisplayName, objGPMConstants SearchOpEquals, cstr(strGPOImportTo) set objGPMConstants SearchPropertyGPODisplayName WScrlpt Echo "D nu a găsit GPO: ' & strGPO WScrlpt Echo "Ieșire" WScript Ieșire elself objGPOList Număr > atunci WScrlpt Echo "S-au găsit mai multe GPO potrivite Număr" & objGPOList Count WScrlpt Echo "Ieșire" WScript Ieșire altfel WScrlpt Echo "GPO găsit: " & objGPOList Item(l) Numele de afișare sfârşitul dacă ' Import set objGPMResult ■ objGPOList Item(l) Import(O objGPMBbackup) Dacă apare o eroare în timpul operațiunii, se va arunca o excepție la eroare reveniți în continuare objGPMResult Overa StatusC ) Importul setărilor obiectului de politică de grup f objGPMResult Status Count > atunci WScrlpt Echo "Mesaj(e) de stare: "& objGPMResult Status Count for - to objGPMResult Status Count WScript Echo objGPMResult Status Item( ) Mesajul următor WScript Echo vbCrLf final dacă • Ieșirea rezultatelor dacă Err Number o atunci WScrlpt Echo "Eroare la importul GPO " & objGPMBackup GPOD splayName WScrlpt Echo "Eroare: " & Err Description altfel WScript Echo "Inport cu succes" WScrlpt Echo "GPO '" & objGPMBackup GPODisplayName & au fost importate în GPO objGPOList Item(l) Disp ayName & end if Un comentariu Importarea setărilor GPO utilizează o copie de rezervă a GPO-ului original După ce este creat, datele din acesta pot fi importate într-un GPO situat în același domeniu sau într-un alt domeniu, sau chiar într-o pădure diferită Astfel, importarea GPO-urilor este un mecanism universal de transfer al setărilor acestora, inclusiv dintr-un mediu destinat testării într-un mediu de producție Unele proprietăți ale GPO-urilor, cum ar fi cele care definesc filtre pe baza apartenenței la grupuri de securitate și a căilor UNC, pot varia în funcție de domenii În acest caz, ar trebui să utilizați tabelul de relocare snap-in GPMC, care conține informațiile necesare pentru a vă asigura că elementele specificate sunt mutate în domeniul de destinație Informații detaliate despre astfel de tabele, așa cum s-a menționat mai sus, sunt oferite în fișierul de ajutor GPMC Către o soluție VBScript Dacă doriți să importați setările GPO, mai întâi trebuie să creați un obiect GPMBackup care reprezintă backup-ul original al obiectului dorit Pentru a face acest lucru, este apelată metoda GPMBackupDig GetBackup și îi este transmis GUID-ul de rezervă Dacă identificatorul trebuie determinat programatic, utilizați metoda GPMBackup SearchBackups, care găsește cea mai recentă copie de rezervă a GPO specificat sau copia de rezervă cu numele afișat specificat Apoi, folosind metoda GPMDomain SearchGPOs, este creat un obiect GPMGPO care reprezintă GPO-ul în care să se importe Această metodă primește un obiect GPMSearchCntema care definește criteriile de căutare, și anume numele afișat GPO specificat în secțiunea de configurare Declarația i f el sei f el se asigură că este returnat un singur obiect ca rezultat a căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se oprește Setările sunt importate folosind Capitolul Obiecte de politică de grup Metoda de import GPMGPO, al cărui prim parametru specifică un set de steaguri care determină modul în care setările de securitate și calea UNC sunt gestionate în timpul importului O valoare de indică faptul că setările implicite sunt aplicate, dacă doriți, puteți utiliza tabelul de deplasare Al doilea parametru specifică obiectul GPMBackup creat anterior În cele din urmă, scriptul gestionează erorile și tipărește rezultatele Vezi si Rețeta - vorbește despre realizarea unei copii a GPO-urilor, iar Rețeta - vorbește despre copierea lor Citiți și documentul MSDN: GPMGPO Import Activarea scripturilor la un GPO Problemă Trebuie să setați scripturi de conectare și deconectare a utilizatorului sau scripturi de pornire și oprire a computerului în GPO Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, apoi domeniul în care se află GPO-ul dorit și, în final, containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați Editare din meniul contextual Se va deschide fereastra Editor de politici de grup Dacă doriți să setați scripturi pentru pornirea și închiderea computerului, deschideți containerele Configurare computer, Setări Windows și Scripturi unul câte unul și pentru a seta scripturi de conectare și oprire, ieșire utilizator - containere Computer utilizator (Configurație utilizator), Setări Windows (Configurare Windows) și Scripturi (Scenarii (autentificare / deconectare)) În panoul din dreapta, faceți dublu clic pe numele tipului de script Faceţi clic pe butonul Adăugare Introduceți un nume pentru fișierul script sau faceți clic pe butonul Răsfoire și navigați la locația acestuia Dacă doriți ca scriptul să ruleze cu parametri specifici, introduceți-i în câmpul Parametri script Faceți dublu clic pe butonul OK Un comentariu Un script inclus într-un GPO poate fi referit indiferent dacă este stocat local pe un controler de domeniu în partajarea NETLOGON sau pe un server de fișiere la distanță indicat de calea UNC Alternativ, scriptul poate fi specificat în atributul scriptPath al obiectului utilizator Această capacitate a fost păstrată pentru a sprijini conturile de utilizator migrate la Active Directory de pe domenii precum NT Puteți utiliza oricare dintre cele două metode pentru a defini scriptul, dar nu ambele - altfel scriptul va fi executat de două ori Instalarea aplicațiilor utilizând un obiect de politică de grup Problemă Doriți să instalați aplicația pe mai multe computere folosind un GPO Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, apoi domeniul în care se află GPO-ul dorit și, în final, containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați Editare din meniul contextual Se va deschide fereastra Editor de politici de grup Deschideți containerul Setări software sub Configurare utilizator sau Configurare computer, în funcție de dacă instalați pentru un anumit utilizator sau pentru toți utilizatorii computerului Faceți clic dreapta pe intrarea Instalare software, apoi selectați Nou ► Pachet din meniul de comenzi rapide În caseta de dialog care se deschide, localizați partajarea de rețea care conține pachetul MSI al aplicației care urmează să fie instalată, faceți clic pe pachet, apoi faceți clic pe OK (Deschidere) În următoarea casetă de dialog, definiți metoda de distribuire a aplicației în rețea (metoda de implementare a software-ului) selectând butonul radio Atribuiți aplicația (Assigned) sau Publicați aplicația (Public) și faceți clic pe butonul OK jidMM Un comentariu Caracteristica de instalare a aplicațiilor utilizând obiecte de politică de grup este un instrument administrativ puternic, folosindu-se cu siguranță de modul în care acest lucru va afecta rețeaua și clienții Dacă pachetul MSI care se instalează are o dimensiune de câțiva megaocteți, va dura mult timp pentru a descărca pe computerul client, ceea ce va degrada performanța acelui computer, mai ales dacă viteza conexiunii este lentă Înainte de a instala aplicația, aceasta trebuie testată temeinic Odată configurat GPO, instalarea aplicației pe toate computerele client va fi rapidă, dar dacă aplicația sau instalatorul are erori, consecințele sunt destul de grave Există două moduri de a distribui o aplicație într-o rețea folosind un GPO Active Directory: atribuire și publicare Când atribuiți o aplicație, comanda rapidă a acesteia este inclusă în meniul Start de pe computerele client specificate, iar aplicația în sine este instalată prima dată când selectați comanda rapidă În schimb, publicarea nu instalează automat aplicația, ci o face disponibilă doar pentru instalare manuală pe computerele specificate, utilizând aplicația Adăugare/Eliminare programe din panoul de control Dezactivați setările utilizatorului sau computerului într-un obiect de politică de grup Problemă Doriți să dezactivați toate setările legate de utilizator sau computer din GPO Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, apoi domeniul în care se află GPO-ul dorit și, în final, containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați GPO Status din meniul contextual care se deschide Bifați caseta de selectare Setări de configurare utilizator dezactivate sau Setări de configurare utilizator dezactivate Folosind un script VBScript • Acest cod activează sau dezactivează setările utilizatorului sau computerului în GPO ■ CONFIGURARE SCRIPT strGPO - " ,' ' De exemplu: GPO de vânzări strDomain - " " ' De exemplu: rallencorp com boolUserEnable - False boolCompEnable - Adevărat • -TERMINARE CONFIGURARE - set objGPM - CreateObjectCGPMgmt GPM") set objGPMConstants - objGPM GetConstantsC ) ' Inițializați obiectul Domain set objGPMDomaln - objGPM GetDoma n(strDomain objGPMConstants UseAnyDC) ' Căutați un anumit GPO set objGPMSearchCriterla - objGPM CreateSearchCriteri a objGPMSearchCrlteria Add objGPMConstants SearchPropertyGPODi splayName objGPMCostants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) dacă objGPOList Count - O atunci WScript Echo "Nu am găsit GPO: " și strGPO WScript Echo "Exlting" WScript Quit el seif objGPOList Count > atunci WScrlpt Echo "S-au găsit mai multe GPO Count care se potrivesc: " & objGPOList Count WScrlpt Echo "Exlting" WScript Ieșire el se WScript Echo "GPO găsit: " și objGPOList Item(l) DisplayName sfârşitul dacă Comentați unul dintre următoarele două fragmente: objGPOList Item(l) SetUserEnabled boolUserEnable WScrlpt Echo "Setări utilizator; " & boolUserEnable objGPOList Item(l) SetComputerEnabled boolCompEnable WScrlpt Echo "Setări computer: " și boolCompEnable Un comentariu GPO include două seturi de setări: pe utilizator și pe computer Secțiunea utilizator conține setări specifice utilizatorului conectat, în timp ce setările din secțiunea computer se aplică întregului computer, indiferent de cine îl folosește Este posibil să dezactivați oricare dintre aceste două seturi de setări sau chiar ambele Mai mult, ca urmare a dezactivării ambelor seturi, GPO-ul în sine va fi dezactivat Acest lucru se face atunci când este necesar să nu se aplice setările GPO la computerele client fără a șterge obiectul în sine și asocierile acestuia și fără a reseta setările specificate pentru acesta Configurația computerului sau a utilizatorului este dezactivată pe sistemele care au OU-uri separate pentru computere și utilizatori: GPO-urile asociate cu OU-urile utilizatorului dezactivează setările de configurare a computerului, iar obiectele asociate cu OU-urile computerului dezactivează setările de configurare a utilizatorului Ca rezultat, procesarea GPO-urilor este mai rapidă și timpul de conectare este redus Folosind un script VBScript Pentru a găsi GPO-ul necesar, trebuie să creați un obiect GPMSearchCriteria și să specificați criteriul de căutare în el - numele afișat GPO specificat în secțiunea de configurare Operatorul і f el sei f el se se asigură că în urma căutării este returnat un singur obiect Dacă nu se găsesc obiecte, sau dacă sunt găsite mai multe obiecte, scriptul pur și simplu se oprește din rulare Cu toate acestea, dacă se găsește un obiect, se apelează metoda SetUserEnabled sau SetComputerEnable, prima activând sau dezactivând configurația utilizatorului, iar a doua activând configurarea computerului Vezi si Documente MSDN GPMGPO SetUserEnabled și MSDN: GPMGPO SetComputer-Enabled Afișarea link-urilor GPO Problemă Doriți să vizualizați lista de link-uri pentru GPO-ul specificat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, apoi domeniul care conține GPO-ul dorit și, în final, containerul Group Policy Objects Faceți clic pe GPO ale cărui linkuri doriți să le vizualizați Acestea vor fi listate în panoul din dreapta în coloana Linkuri Folosind interfața liniei de comandă > dumpgpoinfo wsf " '' Folosind un script VBScript Acest cod este o listă de site-uri, departamente și domenii la care este asociat GPO-ul specificat Afișarea link-urilor GPO ' CONFIGURARE SCRIPT - strGPO - " și ' De exemplu: SalesGPO strForest - " " ' De exemplu rallencorp com strDomain - " " ' De exemplu: rallencorp com • CONFIGURARE ENO set objGPM =■ CreateObject("GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPMDomain = objGPM GetDomain(strDomain objGPMConstants UseAnyOC) • Inițializați obiectul Sites Container set objGPMSItesContainer " objGPM GetS tesContainer(strForest strDomain objGPMConstants UseAnyDC) ' Căutați un anumit GPO set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Add objGPMConstants SearchPropertyGPODisplayName objGPMConstantsSearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) if objGPOList Count - O atunci WScript Echo "Nu am găsit GPO" și strGPO WScri pt Echo "Ex ti ng " WScript Ieșire elseif objGPOList Număr > atunci WScript Echo "S-au găsit mai multe GPO care se potrivesc Count: " & objGPOList Count WScript Echo "Ieșire" WScript Ieșire altfel WScript Echo "GPO găsit: " & objGPOList Item(l) D splayName end f Găsirea tuturor linkurilor SOM pentru un anumit GPO set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Add objGPMConstants SearchPropertySOMLinks, objGPMConstants SearchOpContains objGPOList Item(l) set objSOMList - objGPMDomain SearchOprichteria)MSOMe set objSiteLinkList - objGPMSItesContainer SearchSites(objGPMSearchCriteria) dacă objSOMList Count - O și ObjSiteLinkList Count - O Atunci Wscript Echo "Fără site Domeniu, r OU linkuri găsite pentru acest GPO" altfel WScrlpt Echo "Legături:" pentru fiecare objSOM din objSOMList selectați case objSOM Type case objGPMConstants SOMDomaln strSOMType - "Domain" case objGPMConstants SOMOU strSOMType - "OU" final select ' Tipăriți informații despre asocierile GPO cu domenii și OU-uri WScrlpt Echo " " & objSOM Name & " (" & strSOMType & ")" în continuare Afișați informații despre linkurile GPO către site-uri pentru fiecare objSiteLink n objSiteLinkList OZ Capitolul Obiecte de politică de grup WScrlpt Echo " " & objSIteLink Nume & " (Site)" sfârşitul următor dacă Un comentariu Rețeta intră în câteva detalii despre GPO-uri și relația lor cu zonele de management Către o soluție VBScript Pentru a vedea o listă de link-uri pentru un anumit GPO, trebuie mai întâi să o găsiți Pentru a face acest lucru, este creat un obiect GPMSearchCriteria care specifică criteriul de căutare, numele afișat GPO specificat în secțiunea de configurare Operatorul f elseif else asigură că un singur obiect este returnat ca rezultat al căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Cu toate acestea, dacă este găsit un singur obiect, metodele GPMSitesContainer SearchSites și GPMDomain Se-archSOMs sunt apelate pentru a returna liste de site-uri și domenii de management cu care este asociat acest GPO Vezi si Rețeta - explică cum să creați o legătură GPO către o unitate organizațională De asemenea, consultați documentul MSDN: GPMDomam SearchSOMs și MSDN: GPM-SitesContainer SearchSites Conectarea unui GPO la un domeniu de management Problemă Trebuie să aplicați setările GPO utilizatorilor sau computerelor ale căror conturi se află în domeniul de administrare specificat Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Pădure și Domenii și apoi domeniul în care se află unitatea organizațională specificată Faceți clic dreapta pe unitatea organizațională necesară și selectați comanda Llnk an Exlsting GPO din meniul contextual care se deschide Selectați GPO-ul la care doriți să conectați această OU și faceți clic pe OK Conectarea unui GPO la un domeniu de management Folosind un script VBScript ' Acest cod asociază un GPO cu o OU • - CONFIGURARE SCRIPT strGPO - " ' ' De exemplu: GPO de vânzări strDomaln - " " ' Napriner www rallencorp com strOU - " n ' De exemplu: ou-Sales dc-ral encorp dc-com IntLinkPos ■ - ' Setați această variabilă la valoarea poziției GPO ' O valoare de - indică faptul că obiectul va fi adăugat la sfârșitul listei ' END CONFIGURATION set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPMDomain - objGPM GetDomaln(strDomain objGPMConstants UseAnyDC) ' Căutați un anumit GPO set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Add objGPMConstants Sea rchPropertyGPODIsplayName, objGPMConstants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) if objGPOList Count - O atunci WScript Echo "D nu a găsit GPO; " și strGPO WScript Echo "Se iese" WScrlpt Ieșire elself objGPOList Număr > atunci WScrlpt Echo "S-au găsit mai mult de un GPO potrivit Număr: " & objGPOList Count WScrlpt Echo "Ieșire", WScript Ieșire altfel WScrlpt Echo "GPO găsit" și objGPOL st Item(l) DisplayName sfârşitul f * Căutați o anumită unitate set objSOM - objGPMDomain GetSOM(strOU) f IsNull(objSOM) atunci WScrlpt Echo "Nu am găsit OU: " și strOU WScrlpt Echo "Ieșire" WScript Ieșire altfel WScrlpt Echo "Found OU:" și objSOM Nume end if , la eroare reluați în continuare set objGPMLink - objSOM CreateGP L nk( ntL nkPos objGPOList Item(l) ) f Err Numărul o O atunci WScrlpt Echo "A apărut o eroare la crearea GPO llnk" WScrlpt Echo 'Eroare: " & Err Descriere altfel WScrlpt Echo "GPO conectat cu succes la OU" sfârşitul dacă Capitolul Obiecte de politică de grup Un comentariu Un GPO poate fi legat la o anumită zonă de management, adică o unitate organizațională, site sau domeniu Această rețetă demonstrează cum se efectuează această operație folosind unitatea ca exemplu; conectarea la un domeniu sau site se face exact în același mod Rețeta (Capitolul ) arată cum să legați un OU la un GPO prin setarea valorii atributului gpLink, fără a utiliza interfața GPMC Către o soluție VBScript Pentru a găsi un GPO, trebuie să creați un obiect GPMSearchCriterla și să specificați criteriile de căutare în el - numele afișat al GPO-ului specificat în secțiunea de configurare Instrucția if el sei f el se asigură că numai unul un obiect Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Totuși, dacă este găsit un obiect, o instanță a clasei GPMSOM este creată prin apelarea metodei GPMDomain GetSOM, pasând numele unității organizaționale OU este apoi conectat la GPO folosind metoda GPMSOM CreateGPOLink Vezi si Documente MS KB (Scriptarea adăugării legăturilor de politică de grup) și MSDN: GPMSOM CreațiGPOLlink Blocați moștenirea politicii de grup pentru o unitate organizațională Problemă Doriți să blocați moștenirea setărilor politicii de grup pentru OU dată Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Pădure (Pădure) și Domenii (Domenii), apoi domeniul în care se află unitatea organizațională pentru care doriți să blocați moștenirea politicii de grup Faceți clic dreapta pe unitatea organizațională și selectați Blocare moștenire Blocați moștenirea politicii de grup pentru o unitate organizațională Folosind un script VBScript ' Acest cod blochează moștenirea politicii de grup pentru OU dată ' CONFIGURARE SCRIPT strDomain i ' " ' De exemplu: rallencorp com strOU - " " ' De exemplu: ou-Sales,dc-ral encorp dc-com boolBlock - TRUE ' De exemplu: setați la FALSE pentru a nu bloca moștenirea ' - TERMINAREA CONFIGURAȚIEI - set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants = objGPM GetConstants( ) Inițializarea obiectului Domain set objGPMDomain = objGPM GetDomainlstrDomain objGPMConstants UseAnyOC) ' Căutați o anumită unitate setați objSOM și objGPMDomain GetSOM(strOU) Dacă IsNull(objSOM) atunci WScrlpt Echo "D nu am găsit OU: " și strOU WScript Echo "Exlting" WScrlpt Ieșire altfel WScrlpt Echo "Găsit OU: " și objSOM Name sfârşitul dacă la eroare reluați în continuare objSOM GPOInheritanceBlocked - boolBlock f ErrNumber o O atunci WScript Echo "A apărut o eroare la blocarea moștenirii " WScrlpt Echo "Eroare; " & Err Descriere altfel WScrlpt Echo "Setați cu succes blocarea moștenirii pe OU la " și boolBlock se încheie dacă Un comentariu În mod implicit, setările unui GPO asociat cu o organizație organizatorică sunt, de asemenea, moștenite de obiectele care fac parte din containere imbricate sau organizații organizaționale În cazurile în care acest lucru nu este de dorit, moștenirea poate fi blocată Cu toate acestea, această caracteristică nu trebuie abuzată, deoarece face dificilă determinarea setărilor care se aplică unui anumit utilizator sau computer Văzând că un GPO este asociat cu OU de nivel superior, un alt administrator poate decide ca setările sale să se aplice tuturor obiectelor din acea OU la toate nivelurile de imbricare Puteți utiliza snap-in-ul Setul rezultat de politici (RSoP) pentru a determina ce setări se aplică unui utilizator sau computer (consultați Rețeta - ) Capitolul Obiecte de politică de grup Folosind un script VBScript Pentru a bloca moștenirea, în primul rând, apelând metoda GPMDomain GetSOM, trebuie să creați un obiect GPMSOM care să corespundă subsecțiunii specificate Singurul parametru al acestei metode este numele distinctiv al unității organizaționale (dacă nu este setat, va fi creat un obiect reprezentând domeniul) Proprietatea blocată GPMSOM GPOInheritanceB ar trebui apoi setată la TRIIE pentru a bloca moștenirea sau la FALSE pentru a activa moștenirea Vezi si Documente MSDN: GPMDomain GetSOM și MSDN: GPMSOM GPOInheritance-Blocked Filtrarea obiectelor care sunt afectate de un GPO Problemă Doriți să configurați GPO-ul astfel încât să se aplice numai membrilor unui anumit grup de securitate Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO și apoi containerul Group Policy Objects Faceți clic pe GPO-ul pe care doriți să-l configurați În panoul din dreapta, în zona Filtrare de securitate, faceți clic pe butonul Adăugare Selectați grupul căruia trebuie aplicată această politică de grup și faceți clic pe butonul OK Evidențiați grupul Utilizatori autentificați și faceți clic pe butonul Eliminare Faceți clic pe butonul OK pentru a confirma că operația este necesară ştergere Folosind interfața liniei de comandă * setgpopermissions wsf l " " " /permission:Aplica > setgpopermissions wsf " ' "Utilizatori autentificați" /permission:None Filtrarea obiectelor Folosind un script VBScript ' Acest cod adaugă permisiunea de filtrare a grupului de securitate la GPO ' și elimină permisiunea de filtru Utilizatori autentificați * CONFIGURARE SCRIPT - strGPO - " " ' De exemplu: GPO de vânzări strDomain ■ " " ' De exemplu: ral encorp corn strGroupAdd - ' ' ' De exemplu: Salesllsers strGroupRemove - "Utilizatori autentificați" * TERMINAREA CONFIGURĂRII - set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants = objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPMDomain - objGPM GetDomainCstrDomain objGPMConstants UseAnyDC) ' Căutați un anumit GPO set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Add objGPMCostants SearchPropertyGPODisplayName objGPMCostants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) f objGPOList Count - O atunci WScrlpt Echo "D d nu a găsit GPO: " & strGPO WScrlpt Echo "Ieșire" WScript Ieșire el seif objGPOList Count > then WScrlpt Echo "S-au găsit mai mult de un număr GPO care se potrivește: " & objGPOList Count WScrlpt Echo "Ieșire" WScript Ieșire altfel WScrlpt Echo "GPO găsit " și objGP L st Itefn(l) DisplayName sfârşitul f * Creați un obiect cu permisiunea de aplicat setului GPO objGPMPerml - objGPM CreatePermissionCstrGroupAdd objGPMConstants PermGPOApply Faise) set objGPMPermZ - objGPM CreatePermissionCstrGroupRemove objGPMConstants PermGPOApply Faise) ' Obțineți un set de permisiuni GPO existent set objSecurityInfo - objGPOList Item(l) GetSecurityInfoC ) Adăugarea unei noi permisiuni objSecuritylnfo Add objGPMPerml Eliminați permisiunea Authentlcate users objSecuritylnfo Remove objGPMPerm la eroare reluați în continuare ' Aplicați permisiunea pentru GPO objGPOList Item(l) SetSecurityInfo objSecurityInfo dacă Err Number o O atunci WScrlpt Echo "A apărut o eroare la setarea filtrului de securitate " WScript Echo "Eroare " & Err Description altfel WScrlpt Echo "Adăugat permisiunea de aplicare pentru grup" și strGroupAdd WScrlpt Echo "Eliminat Aplicați permisiunea pentru grup" și strGroupRemove sfârșitul dacă Capitolul Obiecte de politică de grup Un comentariu Pentru a asocia un filtru cu un GPO, trebuie să acordați grupului specificat permisiunea Apply Group Pol Isu (Aplicați Group Policy) acestui obiect, adică includeți această permisiune în lista de control al accesului a grupului În mod implicit, permisiunea APPIY Group Policy pentru fiecare GPO nou este acordată grupului de utilizatori autentificați, iar dacă doriți să aplicați un filtru bazat pe apartenența la anumite grupuri de securitate, trebuie să acordați această permisiune numai grupurilor necesare grupul specificat nu este recomandat deoarece duce adesea la confuzii cu conturile care sunt membri ai unor grupuri cu opțiuni de filtrare conflictuale Dacă, de exemplu, utilizatorul este membru al unei trupe care este setată pe Deny în filtru și, de asemenea, membru al unui grup căruia i se permite să aplice politica, setarea Deny va "câștiga" În astfel de cazuri, găsirea sursei problemei poate fi foarte dificilă Când schimbați permisiunile pentru GPO, fiți atenți și atenți Când creați un GPO cu permisiuni foarte limitate și îi aplicați un filtru, verificați cine îl poate modifica și cum Dacă filtrul este eliminat din orice motiv, restricțiile pe care le setați se vor aplica de obicei tuturor utilizatorilor sau tuturor computerelor din domeniu Către o soluție VBScript Pentru a defini un filtru pentru un GPO, mai întâi trebuie să găsiți GPO-ul în sine În acest scop, este creat un obiect GPMSearchCriteria care specifică criteriul de căutare, numele afișat GPO specificat în secțiunea de configurare dacă elself declaraţie else vă permite să vă asigurați că un singur obiect este returnat ca rezultat al căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Scriptul nostru creează apoi două obiecte GPM CreatePerrmssion, unul pentru grupul care urmează să fie adăugat la filtru și unul pentru grupul de utilizatori autentificați ACL-ul curent al GPO este apoi citit folosind metoda GPMGPO GetSecurityInfo În cele din urmă, permisiunea pentru grupul Authenticated Users (Authenticated Users) este eliminată din această listă, iar în locul ei se adaugă permisiunea pentru noul grup căruia trebuie aplicată politica de grup Vezi si Documente MSDN: GPM CreatePermission și MSDN GPMGPO GetSecurityInfo Creați un filtru WMI Problemă Trebuie să creați un filtru WMI în Active Directory e el activare filtru wmi Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Pădure și Domenii, apoi domeniul pentru care doriți să creați un filtru WMI și faceți clic pe containerul Filtre WMI (Filtre WMI) Faceți clic dreapta pe containerul indicat și selectați Nou Introduceți un nume și o descriere pentru filtru Faceți clic pe butonul Adăugare Selectați un spațiu de nume, introduceți o interogare WQL și faceți clic pe OK Repetați pașii și pentru fiecare interogare pe care doriți să o adăugați la filtru Faceţi clic pe butonul Salvare Folosind un script VBScript La momentul finalizării acestei cărți, API-ul GPM nu conținea metode de creare a filtrelor WMI Un comentariu Filtrele WMI sunt noi pentru Windows Server Filtrele WMI reprezintă o altă modalitate prin care GPO-urile afectează clienții Filtrele de acest tip sunt stocate în Active Directory ca obiecte în containerul YMIPOICU, situat în containerul System al domeniului Filtrul WMI este asociat unui GPO și conține o interogare WQL (WMI Query Language - WMI query language) care este executată pt fiecare client, acoperit de acest GPO Dacă interogarea WQL a returnat TRUE (adică nu un rezultat gol), procesarea GPO-ului continuă Cu toate acestea, dacă a fost returnat FALSE (fără rezultate de interogare), GPO-ul nu este procesat Principalul avantaj al filtrelor WMI este că o cantitate imensă de informații despre clienți disponibile în această infrastructură poate fi folosită pentru a filtra obiectele cărora li se aplică Politica de grup Acest lucru vă permite să interogați informații despre CPU, memorie, spațiu pe disc, pachete de service, aplicații rularea proceselor etc De exemplu, în Windows , vă va fi destul de dificil să creați un GPO care este destinat numai computerelor pe care este instalat Windows Filtrele WMI pot fi create numai pe un controler de domeniu care rulează Windows Server și se aplică numai clienților care rulează Windows Server și Windows XP Sistem de operare Windows XP Professional Va trebui fie să creați un grup de securitate care să includă toate astfel de computere și să aplicați filtrul de grup corespunzător obiectului, fie să mutați conturile acestor computere într-o unitate organizațională separată În cazul lucrului în Windows Server , va fi suficient să utilizați următoarea interogare WQL Când este executat pe o stație de lucru care rulează Windows XP Professional, returnează true selectați * din Win peratingSystern unde Legendă - "Microsoft Windows XP Professional" Vezi si Rețeta - vă spune cum să asociați un filtru WMI cu un GPO De asemenea, consultați documentul MSDN: Interogare cu WQL Asocierea unui filtru WMI cu un GPO Problemă Doriți să asociați un filtru WMI cu un GPO Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO și apoi containerul Group Policy Objects Faceți clic pe GPO și indicați spre filtrul WMI dorit din partea de jos a panoului din dreapta Cu filtrul selectat, faceți clic pe butonul Da pentru a confirma că această operațiune este necesară Folosind un script VBScript Acest cod asociază un filtru UMI existent cu un GPO ' CONFIGURARE SCRIPT - strGPO - " '' ' De exemplu: GPO de vânzări strDomain - "ONZ-domain name>" ' De exemplu: rallencorp com ' De exemplu: {D A- - A - D-AEBD } strWMIFi terID - '' " Filtrele WMI pot fi create numai pe un controler de domeniu care rulează Windows Server și se aplică numai clienților care rulează Windows Server și Windows XP a filtru de legare ѵѵг-ц cu ooekі m i runiii piitiki □ii TERMINAREA CONFIGURĂRII set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants - objGPM GetConstants( ) ' Inițializați obiectul Domain set objGPMDomain = objGPM GetDomain(strDomain objGPMConstants UseAnyOC) • Căutare GPO set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Add objGPMConstants SearchPropertyGPODisplayName objGPMCostants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) f objGPOList Count - O atunci WScrlpt Echo "Nu am găsit GPO: " și strGPO WScript Echo "Exlting" WScript Ieșire elseif objGPOList Număr > atunci WScrlpt Echo "Am găsit mai mult de un GPO potrivit Numara: '* & objGPOList Count WScript Echo "Se iese" Wscript Ieșire el se WScript Echo "GPO găsit: " și objGP L st Item(l) D splayName sfârşitul f la eroare reluați în continuare ' Extrage filtrul WMI strWMIFilter - "MSFT SomFilter Domain- & strDomain & ""-to-"" & StrWMIFilterID & set objWMIFilter = objGPMDomain GetWMIFilter(strWMIFilter) f Err Numărul o O atunci WScript Echo "Nu am găsit filtrul WMI: " și strWMIFilterID WScript Echo "Se iese" WScript Ieșire altfel WScript Echo "Found WMI Filter: " și objWMIFilter Name sfârşitul f ' Legați filtrul și scoateți rezultatul objGPOList Item(l) SetWMIFilter(objWMIFilter) dacă Err Number <> O atunci WScript Echo "Eșuat la setarea filtrului WMI" WScript Echo "Eroare: " și err description altfel WScrlpt Echo "Setați filtrul WMI cu succes" sfârşitul dacă Un comentariu Numai un singur filtru WMI poate fi asociat cu fiecare GPO Această împrejurare nu trebuie considerată o limitare serioasă, deoarece mai mult de una J Z Capitolul Obiecte de politică de grup obiect politică de grup Dacă trebuie să asociați mai multe filtre WMI cu același GPO, puteți crea o copie a GPO și îi puteți aplica noul filtru Pentru mai multe informații despre filtrele WMI, consultați Rețeta Către o soluție VBScript Pentru a găsi GPO-ul căruia va fi asociat filtrul WMI, trebuie să creați un obiect GPMSearchCriteria și să specificați criteriul de căutare în el, numele afișat GPO specificat în secțiunea de configurare Instrucțiunea f el seif el se asigură că în urma căutării este returnat un singur obiect Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul pur și simplu se oprește din rulare Apoi, folosind metoda GPMDomain GetWMIFi Iter, este creat un obiect GPMWMIFi ter, adică această metodă creează un obiect pe baza valorii GUID a filtrului WMI specificată în secțiunea de configurare Dacă trebuie să determinați valoarea filtrului WMI în mod programatic, puteți folosi metoda GPMDoma n SearchWMIFilters Odată ce aveți obiectul GPMWMIFi ter, apelați metoda GPMGPO SetWMIFilter, care asociază GPO-ul cu filtrul WMI Vezi si Documente MSDN - GPMDomain GetWMIFilter și MSDN GPMGPO SetWMI-Filter Copiere de rezervă a unui GPO Problemă Trebuie să faceți o copie de rezervă a GPO-ului în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO și containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați Backup În câmpul Locație, specificați folderul în care ar trebui să fie scrisă copia de rezervă În câmpul Descriere, introduceți o descriere pentru GPO Faceţi clic pe butonul Back Up Copiere de rezervă a unui GPO Se va deschide o fereastră cu un indicator de progres, iar apoi va fi afișat un mesaj care indică faptul că operația s-a încheiat cu succes Faceți clic pe butonul OK Folosind interfața liniei de comandă > backupgpo wsf ' " " " /comment-""Descriere Backup>" Folosind un script VBScript ' Acest cod face copii de rezervă pentru GPO-ul dat în folderul specificat CONFIGURARE SCRIPT - strGPO ■ ""ii bRO>" De exemplu Politica de domeniu implicită strDomain = 'OH -inya ronen>' ' Napriner- rallencorp com strLocation - " " ' De exemplu c:\GPMC Backups strComment - " " ' De exemplu: Politica de domeniu implicită Săptămânal ' TERMINAREA CONFIGURĂRII set objGPM " CreateObject("GPMgmt GPM,,) setați objGPMConstants - objGPM GetConstantst) * Inițializare obiect de domeniu set objGPMDomain =" objGPM GetDomainCstrDomain objGPMConstants UseAnyDC) ' Căutați GPO-uri care ar trebui să fie susținută set objGPMSearchCriteria - objGPM CreateSearchCriteria objGPMSearchCriteria Adăugați objGPMConstants SearchPropertyGPODisplayName objGPMCostants SearchOpEquals cstr(strGPO) set objGPOList - objGPMDomain SearchGPOs(objGPMSearchCriteria) if objGPOList Count - O atunci WScrlpt Echo "Nu am găsit GPO: " și strGPO WScrlpt Echo "Ieșire" WScript Ieșire el seif objGPOList Count > atunci WScrlpt Echo "S-au găsit mai multe GPO potrivite Număr: " objGPOList Count WScrlpt Echo "Ieșire" WScript Ieșire altfel WScnpt Echo "GPO găsit " și objGPOList Item(l) DisplayName sfârşitul dacă Ștergerea unei vechi copii de rezervă bn Eroare Reluare Următorul set objGPMResult " objGPOList Item(l) Backup(strLocation strComment) Apelarea metodei OverallStatus a obiectului GPMResult Dacă apar erori în timpul operațiunii, va fi lansată o excepție objGPMResult OverallStatus( ) dacă objGPMResult Status Count > O atunci WScrlpt Echo "Mesaje de stare" și objGPMResult Status Count pentru - la objGPMResult Status Count WScnpt Echo objGPMResult Status Item(i) Message Următorul WScrlpt Echo vbCrLf sfârşitul dacă Capitolul Obiecte de politică de grup ' Rezultatele de ieșire dacă Err Number o atunci WScript Echo "Copia de rezervă a căzut" WScrlpt Echo "S-a încercat să facă backup pentru GPO și strGPO și în locație " & strLocation WScrlpt Echo "Eroare: " & err description altfel set objGPMBackup = objGPMResult Result WScript Echo "Backup finalizat cu succes" WScrlpt Echo "GPO ID: " și objGPMBackup GPOID WScrlpt Echo "Timestamp:" și objGPMBackup Timestamp WScrlpt Echo "Cod de rezervă: " și objGPMBackup ID sfârşitul dacă Un comentariu Complementul GPMC vă permite să faceți copii de rezervă pentru GPO individuale (sau pentru toate) Fiecare copie a unui GPO constă dintr-un set de foldere și fișiere reprezentând o listă de setări, filtre și linkuri GPO și este creată într-un folder pe care îl specificați Puteți să faceți copii de rezervă pe o unitate locală sau pe un server de fișiere în rețea Restaurarea unui GPO este foarte ușoară (vezi Rețeta ) Înainte de introducerea snap-in-ului GPMC, singura modalitate de a face o copie de rezervă a unui GPO era să faceți o copie de rezervă a stării sistemului pe un controler de domeniu (Fișierele de stare a sistemului includ Active Directory și conținutul folderului SYSVOL; copiile de rezervă GPO necesită ambele ) Pentru a restaura GPO-urile mai târziu, a trebuit să porniți în modul DS Restore și să efectuați o restaurare autorizată a obiectelor Inutil să spun că metoda descrisă în această carte este mult mai simplă Ar trebui să faceți în mod regulat copii de rezervă pentru GPO Deoarece toate informațiile de rezervă sunt stocate ca un set de fișiere, acestea pot fi copiate pe medii externe, oferind două niveluri de recuperare Prin urmare, puteți restaura cea mai recentă copie de rezervă stocată pe un controler de domeniu sau pe un server de fișiere sau puteți restaura o versiune anterioară de pe un suport extern (cum ar fi o bandă) Aici vă va ajuta scriptul querybackupplocation wsf Să luăm ca exemplu o comandă care listează numele (și GUID-urile) folderelor și GPO-urile corespunzătoare: > querybackuplocation wsf "c:\gpmc backups" Către o soluție VBScript Pentru a face backup unui GPO, mai întâi trebuie să găsiți unul În acest scop, este creat un obiect GPMSearchCriteria care specifică criteriul de căutare, numele afișat GPO specificat în secțiunea de configurare Declarația if elself "else asigură că este returnat un singur obiect ca rezultat al căutării Dacă nu sunt găsite obiecte sau dacă sunt găsite mai multe, scriptul se termină pur și simplu Apoi este apelată metoda GPMGPO Backup, care creează o copie de rezervă a obiectului de politică de grup Primul parametru este calea către folderul în care va fi creată copia de rezervă, iar al doilea parametru este o descriere text Restaurarea unui GPO backup care va fi stocat împreună cu acesta Această descriere vă va fi utilă mai târziu, când trebuie să vă amintiți ce fel de copie este Vezi si Rețeta - vorbește despre restaurarea unui GPO Vă recomandăm să consultați și documentul MSDN: GPMGPO Backup Restaurarea unui GPO Problemă Doriți să restaurați un GPO dintr-o copie de rezervă Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO și apoi containerul Group Policy Objects Faceți clic dreapta pe GPO și selectați Restaurare din Backup din meniul contextual care se deschide Faceţi clic pe butonul Următorul Specificați folderul în care se află copia de rezervă și faceți clic pe butonul Următorul Selectați copia de rezervă din care doriți să o restaurați și faceți clic pe butonul Următorul Faceți clic pe butonul Terminare Pe ecran va apărea o fereastră cu informații despre progresul procesului de recuperare Când această operațiune este finalizată, faceți clic pe butonul OK pentru a o închide Folosind interfața liniei de comandă > restoregpo wsf " " " " Folosind un script VBScript Acest cod restaurează un GPO dintr-o copie de rezervă ' CONFIGURARE SCRIPT strGPO - " " ' De exemplu GPO pentru utilizatorii de vânzări strDomaln - ' '' ' De exemplu: rallencorp com strLocation " " " * De exemplu: c \GPMC Backups strBackupID - " " ' Napriner- { CA AC-ODB - B- E - ED } Capitolul Obiecte de politică de grup ' - TERMINAREA CONFIGURAȚIEI - set objGPM - CreateObjectC'GPMgmt GPM") set objGPMConstants - objGPM GetConstantsC ) ' Inițializați obiectul Domain set objGPMDomain = objGPM GetDomain(strDomain objGPMConstants UseAnyOC) ' Verificați dacă locația de rezervă și GUID-ul sunt corecte și objGPMBackupDir = objGPM GetBackupDir(strLocation) set objGPMBackup = objGPMBackupDir GetBackup(strBackuplD) Wscript Echo "Backup găsit:" Wscript Echo '' ID: " & objGPMBackup WScript Echo " Timp: '' și objGPMBackup Timestamp WScrlpt Echo '■ ID GPO: " & objGPMBackup GPOID WScrlpt Echo " Nume GPO- " și objGPMBackup GPODisplayName Wscript Echo " Comentariu: " & objGPMBacup Comentariu WScript Echo "Efectuați operația de restaurare set objGPMResult - objGPMDomain RestoreGPOCobjGPMBackup objGPMConstants DoNotValidateDC) ' Dacă apare o eroare în timpul operației ' se face o excepție la eroare reluați în continuare objGPMResult Overa Status( ) f objGPMResult Status Count > atunci WScript Echo "Mesaj(e) de stare: '' și objGPMResult Status Count pentru i = la objGPMResult Status Count Wscript Echo objGPMResult Status Item(i) Message Următorul WScript Echo vbCrLf sfârşitul dacă * Rezultate de ieșire dacă Err Număr o atunci Wscript Echo "Eroare la restaurarea GPO" și objGPMBackup GPODisplayName Wscript Echo "Eroare; " & Err Descriere altfel Wscript Echo "Restaurare cu succes" WScrlpt Echo "GPO "' și objGPMBackup GPODisplayName și "a fost restaurat" sfârşitul dacă Un comentariu Restaurarea unui GPO folosind GPMC necesită o copie de rezervă a GPO Procedura de creare a unei astfel de copii este descrisă în rețeta Puteți restaura un GPO dintr-o copie de rezervă chiar dacă a fost șters Pentru a restaura un obiect șters, urmați acești pași Emularea politicii rezultată Deschideți snap-in-ul GPMC În panoul din stânga, deschideți alternativ containerele Forest și Domains, domeniul în care se află GPO și apoi containerul Group Policy Objects Faceți clic dreapta pe containerul Group Policy Objects și selectați Manage Backups din meniul contextual care se deschide Evidențiați GPO de rezervă și faceți clic pe butonul Restaurare Faceți clic pe butonul Da pentru a confirma că operația este necesară Când restaurarea este completă, faceți clic pe butonul OK Dacă nu aveți o copie de rezervă adecvată a GPO-ului, dar aveți un altul care este același sau foarte asemănător (poate într-o altă pădure), îl puteți copia acolo unde l-ați pierdut și apoi editați setările acestuia Pentru mai multe informații despre copierea GPO-urilor, consultați Rețeta Către o soluție VBScript Pentru a restaura un GPO, mai întâi trebuie să găsiți o copie de rezervă a acestuia și să creați un obiect VBScript care să îl reprezinte Pentru a face acest lucru, creați mai întâi un obiect GPM GetBackupOir corespunzător folderului în care se află copiile de rezervă, apoi utilizați metoda GPMBackupDir GetBackup, căruia i se transmite GUID-ul copiei de rezervă, pentru a crea un obiect reprezentând această copie Dacă trebuie să determinați GUID-ul de rezervă în mod programatic, folosind GPMBackup SearchBackups poate găsi cea mai recentă copie de rezervă sau o copie cu un anumit nume afișat După ce obiectul GPMBackup este creat, metoda GPMDomain RestoreGPO este apelată pentru a efectua restaurarea Primul său parametru specifică un obiect GPMBackup, iar al doilea parametru specifică un flag de validare (în acest scenariu, o constantă este utilizată pentru a indica faptul că copia nu trebuie validată de un controler de domeniu) Vezi si Rețeta - este despre realizarea unei copii a unui GPO, iar Rețeta - este despre crearea unei copii de rezervă a acestuia A se vedea, de asemenea, documentul MSDN: GPMDomain RestoreGPO Emularea politicii rezultată Problemă Doriți să emulați politica rezultată pe baza OU, a site-ului sau a apartenenței la grup de securitate Această emulare se numește Modelare politici de grup Capitolul Obiecte de politică de grup Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul GPMC În panoul din stânga, faceți clic dreapta pe elementul Group Policy Modeling și selectați Group Policy Modeling Wizard Specificați controlerul de domeniu care va procesa cererea și faceți clic pe butonul Următorul În lista Informații utilizator sau Informații computer, selectați containerul pe care doriți să îl emulați utilizatorul sau containerul computerului sau specificați un anumit utilizator sau cont de computer Faceți clic pe butonul Următorul Dacă este necesar, selectați un site și faceți clic pe butonul Următorul Vi se va solicita să emulați apartenența la alt grup După ce ați specificat grupul dorit, faceți clic pe butonul Următorul Expertul vă va solicita să selectați filtre WML suplimentare După ce ați făcut selecția, faceți clic pe butonul Următorul Faceți clic pe butonul Următorul și va începe procesul de emulare Faceţi clic pe butonul Terminare Rezultatele emulării ar trebui să apară în panoul din dreapta Un comentariu Complementul GPMC vă permite să emulați politica rezultată pe baza OU, a site-ului sau a apartenenței la grup de securitate În acest fel, puteți crea unul sau mai multe GPO-uri și le emulați fiind aplicate unui utilizator sau computer (pentru a vedea care va fi rezultatul și ce modificări vor fi necesare) înainte de a muta GPO-urile în producție și de a le conecta la zona de control reală Vezi si Rețeta - arată cum puteți vizualiza politica rezultată Vizualizarea politicii rezultate Problemă Doriți să examinați politica rezultată aplicată utilizatorului sau computerului pentru a vedea dacă politicile asociate cu acest client sunt configurate corect Pașii din această rețetă trebuie să fie executați pe un controler de domeniu Windows Server Actualizați politicile grupului de computere Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-inul Setul rezultat de politici rulând fișierul rsop msc din linia de comandă Acest snap-in va analiza politicile de grup ale computerului și va afișa setările finale în fereastra consolei MMC Pentru a vedea politica rezultată a altui computer, faceți clic dreapta pe nodul rădăcină al arborelui din panoul din stânga și selectați comanda Modificare interogare Vi se va solicita să introduceți numele computerului pe care doriți să îl interogați NOTĂ - - Setul rezultat de snap-in Polides este disponibil numai pe Windows Server și Windows XP Folosind interfața liniei de comandă >gpresult În Windows Server , comanda gpresul t vă permite să specificați comutatorul /S și numele computerului la distanță pe care ar trebui să fie rulat În Windows , comutatorul /S este disponibil, dar are un efect diferit și, prin urmare, nu este posibil să obțineți informații despre un alt computer folosind comanda gpresult O selecție de informații despre sintaxa utilitarului gpresult este afișată cu comanda gpresult /? Un comentariu Cu mai multe GPO, poate fi dificil să fii sigur ce setări se aplică unui anumit utilizator sau computer Prin urmare, au fost dezvoltate instrumente care vă permit să interogați setul rezultat de setări aplicate clientului - așa-numita politică rezultată (Resultant Set of Policy, RSoP) O altă sursă de date este registrul computerului Pentru informații despre GPO-urile aplicate computerului, consultați HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVerslon\Group Policy\Hlstory Nu există informații despre setările care se aplică computerului, dar listează numele fiecărui GPO, numele său distinctiv, locația folderului SYSVOL, numărul versiunii sistemului de operare și domeniul de management în care este computerul asociat cu Vezi si Rețeta vorbește despre emularea politicii rezultate Actualizați politicile grupului de computere Problemă Să presupunem că ați făcut unele modificări în GPO și acum acestea trebuie aplicate computerului prin actualizarea politicilor de grup Capitolul Obiecte de politică de grup Soluţie Folosind interfața liniei de comandă Pe Windows Server sau Windows XP, executați următoarea comandă: > gpupdate [/target:(Computer|User}] Pe Windows , veți lansa următoarea comandă: > secedlt /refreshpolicy [politica mașină | user policy] Un comentariu Noua comandă gpupdate este mult mai puternică decât comanda secedlt pe care o cunoașteți Vă permite să aplicați toate setările la obiecte prin adăugarea comutatorului /force (doar setările modificate sunt utilizate în mod implicit) Folosind comutatorul /target cu opțiunea Computer sau User, puteți specifica la ce obiect trebuie aplicată politica de grup și, folosind comutatoarele /logoff și Zboot, utilizatorul poate fi deconectat și repornit automat după ce noua politică este aplicată Vezi si Document MS KB (O descriere a utilitarului de actualizare a politicii de grup) Restabilirea politicii implicite Problemă Doriți să reveniți la configurația inițială a politicii de securitate a unui domeniu sau controler de domeniu după ce i-au fost aduse modificări Soluția Folosind interfața liniei de comandă Următoarea comandă suprascrie atât politicile de securitate ale controlorului de domeniu, cât și ale controlului de domeniu Dacă în loc de parametrul Ambele (ambele) specificați Domeniu (domeniu) sau DC (controler de domeniu), una dintre politici va fi modificată > dcgpofix /target:Ambele Această comandă trebuie să fie rulată pe controlerul de domeniu pentru care doriți să reinstalați politica de grup Soluția sugerată în această secțiune poate fi aplicată numai unui controler de domeniu care rulează Windows Server da restabiliți politica implicită Z Un comentariu Dacă ați schimbat unul dintre cele două GPO implicite și doriți să reveniți la setările originale, utilizați utilitarul dcgpoflx (funcționează cu o anumită versiune a schemei Active Directory) Cu toate acestea, dacă versiunea sa actuală diferă de cea utilizată de serviciul de directoare, utilitarul nu se va putea reinstala Folosind cheia /Ignoreschema, această restricție poate fi ocolită În acest caz, utilitarul va restaura GPO-ul conform versiunii schemei pe care o consideră actuală Această nevoie poate apărea dacă un pachet de servicii este instalat pe controlerul de domeniu care conține extensia de schemă, iar pachetul de servicii nu este instalat pe al doilea controler Dacă încercați să rulați utilitarul dcgpoflx pe al doilea controler, veți primi un mesaj de eroare deoarece noua versiune a schemei și utilitarul dcgpof x nu au fost încă instalate pe primul controler Schema Active Directory Introducere Schema Active Directory conține informații despre modul în care obiectele director sunt structurate și protejate, ce date stochează și cum ar trebui să fie reprezentate Prin urmare, orice administrator Active Direction, orice dezvoltator care scrie scripturi pentru automatizarea sarcinilor legate de administrarea directoarelor, trebuie să cunoască perfect structura schemei, să înțeleagă semnificația unor concepte atât de importante precum clasele, moștenirea, atributele și tipurile acestora, indexarea Acest capitol oferă instrucțiuni pentru efectuarea multor sarcini de care trebuie să se ocupe un administrator de schemă zilnic Anatomia unui obiect schema O caracteristică interesantă a Active Directory, care nu se găsește în alte implementări ale protocolului Lightweight Directory Access Protocol (LDAP), este că schema directorului este stocată în directorul de sistem în sine ca un set de obiecte Aceasta înseamnă că interfețele și programele concepute pentru a manipula obiecte de alte tipuri pot fi folosite pentru a manipula schema Toate obiectele de schemă Active Directory sunt stocate în containere Schema și, prin urmare, au nume ca acesta: cn=schema, cn=configuration Majoritatea obiectelor schema aparțin uneia dintre cele două clase: classSchema sau attributeSchema După cum sugerează numele acestor clase, prima definește clasele de obiecte, iar a doua definește atributele acestora Există, de asemenea, o a treia clasă de obiecte numită subSchema Se numește schema abstractă și este definită în specificația LDAP versiunea (RFC ) Un singur obiect din această clasă, cn "Aggregate, este stocat în containerul Schema (Scheme), care conține informații generale despre întreaga schemă Listele cu cele mai importante atribute ale obiectelor classSchema și attributeSchema sunt prezentate în Tabelul , respectiv și Tabelul atributele obiectului classSchema Descrierea atributului adminDescription auxiliaryClass Informații despre clasă Atribut cu mai multe valori care conține obiecte care reprezintă clase speciale create pentru această clasă introducere Descrierea atributului SP Nume distinctiv de clasă relativă (nume comun) defaultHidingValue O valoare booleană care specifică dacă obiectele acestei clase sunt ascunse în mod implicit atunci când se vizualizează schema folosind instrumentele administrative GUI defaultSecurityDescriptor Descriptor de securitate implicit pentru obiectele acestei clase guvernsID Identificator de obiect (OID) din această clasă isDefunct Valoare booleană care indică dacă această clasă este dezactivată IDAPDisplayName Numele afișat LDAP, care este numele folosit pentru a face referire la clasă atunci când căutați, creați sau modificați obiectele acesteia Acest nume poate diferi de cel stocat în atributul cn mayContain Un atribut parametric care conține o listă de atribute de clasă ale căror valori sunt opționale mustContain Atribut Parametru care conține o listă de atribute de clasă ale căror valori trebuie setate objectClassCategory Tipul de clasă, specificat ca număr întreg: (structural), (abstract), (special) sau ( ) possiblelnferiors Atribut de parametru care conține o listă de clase ale căror obiecte pot conține un obiect din această clasă possSuperiors Un atribut cu mai multe valori care conține o listă de clase ale căror obiecte pot include obiecte din această clasă rONAttID schemaIDGUID showlnAdvancedVIEWOnly Nume distinctiv relativ al GUID-ului instanței de clasă a variabilei booleene de clasă care determină dacă obiectele acestei clase ar trebui să fie afișate de instrumentele de administrare a GUI numai în modul avansat subClassOf systemAuxi aryClass Clasa părinte Un atribut parametric care conține o listă de clase speciale definite pentru această clasă Valoarea acestui atribut poate fi modificată numai de Active Directory însuși systemFlags O valoare întreagă care reprezintă proprietăți suplimentare ale clasei continuat^ Capitolul ii sistem Tabelul (continuare) Descrierea atributului systemMayContain Un atribut parametric care conține o listă de atribute de clasă ale căror valori sunt opționale Valoarea acestui atribut poate fi modificată numai de Active Directory însuși systemMustContain Un atribut parametric care conține o listă de atribute de clasă ale căror valori trebuie setate Valoarea acestui atribut poate fi modificată numai de Active Directory însuși systemPossSuperiors Un atribut parametric care conține o listă de clase ale căror obiecte pot conține obiecte din această clasă Valoarea acestui atribut poate fi modificată numai de Active Directory însuși Tabelul Atributele obiectului attrlbuteSchema Descrierea atributului adminDescription attributeID attributeSecurltyGUID Informații despre atribut OID-ul atributului GUID utilizat pentru a aplica numele de utilizator și parola unui grup de obiecte attnbuteSyntax OID reprezentând sintaxa atributului Împreună cu atributul oMSyntax, definește o sintaxă unică SP Numele distinctiv relativ al unui atribut, numit și numele său comun isDefunct O variabilă booleană care determină dacă atributul este dezactivat att ri buteisMefliberOfPa rti a Set variabilă booleană care specifică dacă atributul este membru al unui set parțial de atribute (adică dacă se află în catalogul global) isSingleValued Variabilă booleană care specifică dacă atributul este cu o singură valoare sau cu mai multe valori inked Dacă acest atribut este completat, reprezintă o legătură către atributul următor sau anterior IDAPDisplayName Numele afișat LDAP, adică numele folosit pentru a se referi la atribut atunci când căutați sau atribuiți o valoare acestuia Rețineți că această valoare poate diferi de valoarea atributului ate oMSyntax Un număr întreg care reprezintă tipul OM al atributului Împreună cu atributul Sintaxă, definește o sintaxă unică a atributului schemalDGUIO atribut GUID Înregistrarea snap-in-ului Schema Active Directory Descrierea atributului searchFlags Un număr întreg care reprezintă proprietățile speciale ale atributului legate de căutarea acestuia, inclusiv modul în care este indexat și dacă algoritmul de căutare ANR (Ambiguous Name Resolution) poate fi utilizat systemFlags Un număr întreg care reprezintă proprietățile suplimentare ale atributului Înregistrarea snap-in-ului Schema Active Directory Problemă Trebuie să deschideți pentru prima dată programul snap-in Schema Active Directory pe acest computer Soluţie Înainte de a putea utiliza programul de completare Schema Active Directory, trebuie să înregistrați biblioteca de linkuri dinamice (DLL) asociată acestuia Acest lucru se poate face folosind utilitarul regsvr : > regsvr schmmgmt dll Dacă această comandă are succes, va fi afișat următorul mesaj: DllRegisterServer în schrmgmt dll a reușit Un comentariu Majoritatea snap-in-urilor MMC utilizate pentru a gestiona Active Directory nu trebuie să-și înregistreze manual DLL-urile Cu toate acestea, atunci când utilizează snap-in Schema Active Directory, administratorii sunt forțați să facă acest lucru pentru a proteja schema de director de modificări accidentale Desigur, acesta nu va fi un obstacol real pentru utilizatorii care doresc să facă modificări schemei, dar această opțiune nu este disponibilă implicit În orice caz, numai utilizatorii care sunt membri ai grupului de administratori de schemă au voie să modifice schema, așa că, chiar dacă un utilizator neautorizat obține acces la snap-in-ul Schema Active Directory, tot nu va putea face acest lucru Dacă doriți să utilizați acest snap-in pe un computer care nu este un controler de domeniu și nu ați instalat încă pachetul adminpak msi, trebuie să specificați calea completă către fișierul schmmgmt dll din directorul \I de pe Windows CD Server în comanda regsvr Capitolul Schema Active Directory Vezi si Documente MS KB (CUM SE: Gestionează schema Active Directory în Windows ) și MS KB (CUM SE: Gestionează schema Active Directory în Windows Server Enterprise Edition) Permisiune de modificare a schemei Problema Trebuie să permiteți modificarea schemei pe schema master Fără îndeplinirea acestei cerințe, nu o veți putea extinde Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, localizați elementul Schema Active Directory Faceți clic dreapta pe acest element și selectați Operations Mașter din meniul contextual care se deschide Bifați caseta de selectare Permite modificări de schemă și faceți clic pe OK Folosind interfața liniei de comandă Pentru a seta permisiunea de modificare a schemei, rulați următoarea comandă: > reg add HKEY LOCW MACHINE\System\CurrentControlSet\Services\NTDS\Parameters /t J REG DkORD /v "Actualizare schema permisă" /d Și pentru a interzice modificarea schemei, rulați următoarea comandă: > reg delete HKEY LOCAL MACHINE\System\CurrentControlSet\Services\NTDS\Parameters /v J "Actualizare Schema AlTowed" /f Folosind un script VBScript ' Acest cod activează sau dezactivează modificarea schemei pe schema master CONFIGURARE SCRIPT - ' TRUE pentru a activa modurile de schemă și FALSE pentru a dezactiva boolSetReg - TRUE Introduceți numele master al schemei sau dacă rulează local strDC - " " • TERMINAREA CONFIGURAȚIEI const HKEY LOCAL MACHINE - &H set objReg - GetObject("wînmgmtsiW" & strDC & ''XrootXdefaultzStdRegProv') Permisiunea de modificare a schemei este acordată numai dacă schema master rulează Windows Obținerea OID-ului pentru o nouă clasă sau atribut strKeyPath - "SystemXCurrentControlSet\Services\NTDS\Parameters" strValueName - "Actualizare schema permisă" dacă boolSetReg - TRUE atunci strValue ■ intRC - objReg SetDWORDValue(HKEY LOCAL MACHINE strKeyPath strValueName strValue) dacă intRC > atunci WScript Echo "A apărut o eroare: " & intRC altfel WScript Echo strValueName & " valoare setată la " & strValue se termină dacă altfel intRC - objReg DeleteValue(HKEY LOCAL MACHINE strKeyPath strValueName) dacă intRC > atunci Wscript Echo "A apărut o eroare: " & intRC else WScript Echo strValueName și "valoare ștearsă" sfârşitul dacă sfârşitul dacă Un comentariu Dacă schema master rulează Windows , nu puteți extinde schema fără permisiunea explicită de modificare Pentru a oferi acest lucru, în secțiunea HKEY LOCAL MACHINE\System\CurrentControlSet\Services\NTDS\Parameters din registrul de sistem, trebuie să creați o nouă setare cu numele Schema Update Allowed și valoarea Pentru a interzice modificări ale schemei, este suficient să atribuiți valoarea parametrului specificat sau să îl eliminați complet din registru NOTĂ - Dacă proprietarul schemei rulează Windows Server , nu va trebui să acordați permisiunea de a modifica scheme, deoarece Microsoft nu mai asociază capacitatea de a extinde schema cu setarea Actualizare schema permisă din registry Vezi si Document MS KB (Actualizările de schemă necesită acces de scriere la schemă în Active Directory) Obținerea OID-ului pentru o nouă clasă sau atribut Problemă Trebuie să generați un OID pentru o nouă clasă sau atribut care va fi adăugat ulterior la schemă Capitolul Schema Active Directory Soluţie OID poate fi obținut în două moduri Folosind utilitarul Oidgen exe din Kitul de resurse, este ușor să îl generați pe baza arborelui OID Microsoft: > oidgen Attribute Base OID: Class Base OID: Работать с этой утилитой довольно просто, но если расширения схемы предназначаются pentru utilizare în producție, vă recomandăm să utilizați un ID de la filiala OID a organizației dvs Și pentru a afla dacă organizației dvs i s-a atribuit un OID, verificați unul dintre următoarele site-uri: http://www iana org/assignments/enterprise-numbers http://www alvestrand no/objectid/ Dacă se dovedește că organizația nu are un astfel de identificator, încercați să contactați autoritatea de certificare din țara dvs O listă de adrese de e-mail CA este disponibilă la http://www lso ch/iso/en/aboutiso/isomembers/lndex html Odată ce aveți OID-ul de bază, îl puteți ramifica De exemplu, dacă OID-ul de bază este , noile ID-uri de clasă pot începe cu , iar ID-urile de atribut încep cu Apoi OID-ul primei clase pe care o creați va fi și OID-ul primului atribut va fi Un comentariu Un OID, sau un identificator de obiect, nu este altceva decât un șir de numere separate prin puncte Inițial, formatul unor astfel de identificatori a fost definit de organizația ITU-T în standardul X și a fost folosit pentru a identifica în mod unic o mare varietate de obiecte, inclusiv obiecte MIB de protocol SNMP, precum și clase și atribute de protocol LDAP Identificatorii obiectelor au o structură ierarhică; ramurile și gestionarea acestora sunt responsabilitatea autorităților naționale Generarea unui GUID pentru o nouă clasă sau atribut Problemă Doriți să generați un GUID pentru noua clasă sau atribut pe care doriți să îl adăugați la schemă Și pentru a adăuga o clasă sau un atribut la o schemă, GUID-ul acesteia trebuie să fie scris în atributul schemaIDGUID Soluţie Există mai multe modalități de a obține un GUID Dacă nu specificați o valoare schemaIDGUID când creați o clasă sau un atribut, aceasta va fi generată automat Generarea unui GUID pentru o nouă clasă sau atribut tic Prin urmare, puteți utiliza valoarea schemaIDGUID generată în pădurea de testare GUID-ul poate fi, de asemenea, obținut prin programare folosind Perl, Visual Basic, C++ sau C# (dar nu VBScript) În cele din urmă, API-ul Windows include o metodă CoCreateGUID care poate genera și un astfel de identificator, iar dacă doriți să utilizați VBScript, includeți metoda CoCreateGUID ca DLL ActiveX cu Visual Basic și utilizați această bibliotecă În cele din urmă, aveți opțiunea de a utiliza instrumentul uuidgen exe inclus cu Microsoft Platform SDK Acest utilitar nu necesită niciun parametru (deși are câteva opțiuni care sunt ușor de văzut cu comanda uuidgen -h) și poate genera atâtea GUID-uri câte aveți nevoie Dacă utilizați fișiere LDIF pentru a extinde schema, puteți converti toate GUID-urile la codificare base Acest lucru este necesar deoarece Active Directory stochează identificatorii în formă binară Specificația LDIF necesită ca orice date binare să fie codificate în baza Din păcate, VBScript nu acceptă această codificare deoarece, spre deosebire de alte limbaje, și în special de Perl, nu are un modul corespunzător Următorul este un exemplu de script Perl care utilizează utilitarul uuidgen pentru a genera un GUID, apoi utilizează o metodă din modulul Win ::Lanman pentru a-l converti în binar și apoi utilizează o metodă din modulul MIME::Base pentru a-l codifica: #!perl utilizați MIME::Base ; utilizați Win ::Lanman; # Obțineți șirul GUID su $str guid - 'uuidgen exe'; chomp $str guid: # Convertiți-l în format binar GUID apoi $bin guid = W n ::Lanman::StringToGuid($str guid): # Convertiți datele în Base encode $b guid " encode base ($bin guid); prinț "$b guid\n"; NOTĂ - - Nu aveți nevoie deloc de utilitarul uuidgen exe dacă utilizați metoda din modulul Win ::Guidgen sau Data::UUID (pe Unix) care generează un GUID text Un comentariu Atributul schemaIDGUID conține GUID-ul obiectului schema care reprezintă clasa sau atributul Când creați o nouă clasă sau un atribut, este o idee bună să setați o valoare schemaIDGUID, mai ales dacă trebuie asociată cu drepturi extinse sau seturi de proprietăți Dacă această valoare nu este setată în mod explicit, atunci când creați sau modificați drepturile extinse de utilizare a clasei, va trebui să faceți dinamic Capitolul Schema Active Directory definiți atributul schemaIDGUID al fiecărei păduri în care este implementat Această decizie, după cum puteți vedea, nu este clară Extensie de schemă Problemă Doriți să extindeți schema Active Directory pentru a include clase și atribute noi Soluţie Procesul de adăugare de noi clase sau atribute la o schemă sau de modificare a celor existente se numește extindere Este foarte important să testați temeinic modificările înainte de a muta orice modificări în producție Îndrumările generale pentru organizarea procesului de extensie a schemei sunt prezentate mai jos Evaluați justificarea necesității integrării aplicațiilor cu Active Directory Examinați extensiile planificate pentru impactul pe care îl vor avea asupra mediului Active Directory (de exemplu, va trebui să adăugați noi atribute la catalogul global) Testați cu atenție datele modificate de extensie într-un mediu de testare și documentați-le Migrați clasele și atributele modificate de extensie în mediul de producție Active Directory Un comentariu Aș dori să vă avertizez: nu transformați descrierea de mai sus a procesului de extindere a schemei într-o procedură birocratică îndelungată, care poate dura câteva săptămâni În caz contrar, este puțin probabil ca dezvoltatorii companiei dvs să dorească să-și integreze aplicațiile cu Active Directory În același timp, deși multe organizații au reguli care impun ca numărul de extensii de schemă să fie menținut la un nivel minim, nu este nimic în neregulă cu extensiile de schemă în sine Dimpotrivă, această capacitate este unul dintre avantajele importante ale serviciului de director Active Directory față de predecesorul său din sistemul de operare Windows NT Vezi si Rețeta arată cum să adăugați un nou atribut la schemă, iar Rețeta arată cum să adăugați o nouă clasă De asemenea, consultați MS KB (Cum se modifică informațiile despre schemă folosind utilitarul Ldifde) Adăugarea unui nou atribut Documentarea extensiilor de schemă Problemă Extensiile de schemă trebuie documentate Soluţie Există mai multe moduri de a documenta extensiile de schemă Dacă extensia este realizată folosind fișiere LDIF, fișierele în sine pot servi ca documentație Completați instrucțiunile conținute în ele cu explicații introducând simbolul # la începutul fiecărui rând de comentariu Acesta este, de asemenea, modul în care autorul preferă să implementeze și să documenteze extensia schemei, recomandând tuturor companiilor care doresc să extindă schema Active Directory pentru clienții lor să creeze fișiere LDIF adecvate, indiferent dacă sunt sau nu utilizate pentru extensia schemei O altă modalitate ușoară de a documenta extensiile este utilizarea programului SchemaDoc dezvoltat de Microsoft Acest utilitar GUI vă permite să documentați clasele și atributele adăugate deja la schema Active Directory Acesta generează fișiere XML pe care le puteți dezvolta propria interfață pentru a le vizualiza Programul SchemaDoc poate fi descărcat de la http://www microsoft com/down-loads/details aspx?FamilyId=BEF BlD-D Fl- - C -CA CFC AB &displaylang=en Informații destul de detaliate despre acesta sunt disponibile și la http://www micro-soft com/technet/prodtechnoi/ad/windows /maintain/schema asp Un comentariu Nu există reguli care să reglementeze strict când ar trebui documentate extensiile de schemă Cu toate acestea, cel puțin documentația minimă ar trebui să fie obligatorie Având în vedere timpul și oportunitatea, merită să dezvoltați un sistem de documentare clar, folosind Web-ul sau chiar un sistem de modelare a obiectelor " Vezi si RFC (Format de schimb de date LDAP (LDIF) - Specificație tehnică) Adăugarea unui nou atribut Problemă Trebuie adăugat un nou atribut la schema Active Directory Capitolul Schema Active Directory Soluţie NOTĂ - - Pe Windows , înainte de a putea urma pașii din această rețetă, trebuie să activați modificarea schemei Cum se face acest lucru este descris în rețeta Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic dreapta pe containerul Atribute și selectați Creare atribut* din meniul contextual care apare Faceți clic pe butonul Următorul pentru a confirma că doriți să extindeți schema Introduceți informații despre noul atribut Faceți clic pe butonul Hnish Folosind interfața liniei de comandă Pentru a crea atribute noi, puteți utiliza utilitarul Idifde, care va citi informații despre acestea din fișierul LDIF creat Iată un exemplu de astfel de fișier Are numele create attr ldf și conține informații despre atributul ral encorp-LanguagesSpoken: dn■ cn-ral encorp-LanguagesSpoken cn-schema cn-configurati on changetype adăugați objectclass attributeSchema IDAPDisplayName: ral encorp-LanguagesSpoken attrlbuteld: oMSyntax Sintaxă de atribut: isSingleValued: FALSE steaguri de căutare: descriere: "Limbi pe care le vorbește un utilizator" După crearea fișierului, rulați următoarea comandă, iar modificările descrise în acesta vor fi aduse schemei: > Idifde -v -i -f create attr ldf Folosind un script VBScript Acest cod arată cum să creați un atribut numit ral encorp-LanguagesSpoken Acest script ar trebui să fie executat de utilizator membru al grupului Schema Admins set objRootDSE - GetObject ("LDAP //RootDSE") set objSchemaCont = GetObjectCLDAP //" & objRootDSE Get("schemaNamingContext")) set objAttr - objSchemaCont Create("attributeSchema" "cn-ra encorp-LanguagesSpoken") objAttr Pune "IDAPDisplayName" "rallencorp-LanguagesSpoken" objAttr Pune "atribuit" " " objAttr Put "oMSyntax" objAttr Pune "attributeSyntax" " " Adăugarea unui nou atribut objAttr Put "isSingleValued" FALSE objAttr Pune "descriere" "Limbi pe care le vorbește un utilizator" objAttr Put "searchFlags" ' indexează atributul objAttr SetInfo WScript Echo "Atribut creat" Un comentariu Un nou atribut este creat prin adăugarea unui obiect attributeSchema la containerul Schema De obicei, la extinderea schemei Active Directory, se fac mai multe completări și modificări la clase și atribute simultan Mai mult, ordinea operațiunilor efectuate în acest caz, de regulă, contează De exemplu, nu puteți crea o clasă incluzând un atribut care nu există încă în ea - mai întâi trebuie să creați un atribut al noii clase și apoi clasa în sine Mai mult, după crearea atributului, mai întâi trebuie să reîncărcați schema și abia apoi să continuați la crearea clasei Rețeta explică ce este reîncărcarea schemei și cum funcționează Scopul majorității atributelor obiectului attributeSchema este evident, adică este clar din numele lor, dar unele necesită explicații În special, atributele attributeSyntax și oMSyntax definesc împreună tipul de date care pot fi conținute într-un anumit atribut Combinațiile valide de valori ale atributelor specificate sunt date și descrise în tabel Tabelul Combinații de valori ale atributelor attributeSyntax și oMSyntax Tip de date attributeSyntax attribute value oMSyntax attribute value Descriere AccessPointDN Tip de nume distinctiv definit în standardul X Boolean Valoare TRUE sau FALSE CaseExactString Șir sensibil la majuscule și minuscule CaselgnoreStrlng Un șir care nu face distincție între majuscule și minuscule DirectoryStrlng Șirul Unicode nu face distincție între majuscule și minuscule DN Un șir care reprezintă numele distinctiv al obiectului DNWithBinary Un șir binar cu formatul B;CharCount:BinaryValue: bjectDN, unde CharCount este numărul de caractere hexazecimale din BinaryValue, adică în reprezentarea hexazecimală a valorii binare, iar ObjectDN este numele distinctiv al obiectul continuat^ Capitolul Schema Active Directory Tabelul (continuare) Tip de date attributeSyntax attribute value oMSyntax attribute value Descriere DNWithString Un șir binar care conține o valoare și un nume distinctiv O valoare de acest tip are formatul S:CharCount: StnngValue:ObjectDN, unde CharCount este numărul de caractere din șirul StringValue și OojectDN este numele distinctiv al obiectului din Active Directory Enumerarea Tip definit ca X și interpretat ca un număr întreg GeneralizedTime Un format de șir pentru reprezentarea timpului, definit în standardul ASN Consultați standardele ISO și X IA String Șir care conține caractere din setul IA , distinge între majuscule și minuscule Număr întreg Număr întreg pe de biți Integer Un întreg pe de biți, numit și număr întreg mare NTSecurityDescriptor Șir hexazecimal care conține descriptorul de securitate NumericString Șir numeric OctetString Matrice de octeți utilizată pentru a stoca date binare OID Șir care conține numere ( - ) și puncte zecimale ( ) ORName Un tip de date definit în standardul X Folosit pentru a se asigura că standardul specificat este compatibil cu specificația RFC PresentationAddress String care conține adrese de prezentare OSI (Open Systems Interconnection) Adăugarea unui nou atribut Tip de date attributeSyntax attribute value oMSyntax attribute value Descriere PrintableString Șir care conține caractere imprimabile, diferențiază majuscule și minuscule ReplicaLink Tip de date destinat utilizării interne în Active Directory Sid Șir binar care conține identificatorul de securitate (S D) UTCTime Un format de șir definit de ASN pentru reprezentarea timpului Atributul searchFlags este un set de steaguri care definesc proprietățile asociate căutărilor de atribute Valorile sale admisibile, care sunt cumulate, sunt date în tabel De exemplu, pentru a indexa un atribut și a-l include în setul de atribute care pot fi căutate folosind algoritmul ANR, ați seta atributul searchFlags la ( + ) Tabelul Valorile de biți ale atributului searchFlags Descrierea valorii Indexați atributul Vezi și rețeta Atribut index și container Includeți atributul în setul de atribute care pot fi căutate folosind algoritmul ANR Această valoare poate fi utilizată împreună cu valoarea Vezi și rețeta Salvați atributul pe pietre funerare Atribut de copiere la copierea obiectelor Vezi și rețeta Creați un index tuplu pentru acest atribut Acest lucru va reduce timpul de căutare în cazurile în care valoarea atributului din șirul de căutare conține caractere metalice, de exemplu: givenname-*on Vezi si Rețeta (Capitolul ) vă arată cum să căutați obiecte pe baza unei valori date de bit de semnalizare, rețeta vă arată cum să creați o nouă clasă, iar rețeta vă arată cum să reîncărcați o schemă Capitolul Schema Active Directory Vizualizarea proprietăților atributelor Problemă Doriți să vedeți proprietățile unui atribut Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Atribute În panoul din dreapta, faceți dublu clic pe atributul ale cărui proprietăți doriți să le vizualizați Vizualizați conținutul fiecărei file unul câte unul Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele obișnuit al atributului ale cărui proprietăți doriți să le vizualizați (nu numele afișat LDAP): > dsquery * cn-schema cn-configurati, -scope onelevel -attr *J -fi ter "(&(objectcategory-attributeSchema)(cn~ ))" Folosind un script VBScript ' Acest cod imprimă atributele obiectului attributeSchema dat ' Codul funcției DisplayAttributesO este în Rețeta (Capitolul ) ■ CONFIGURARE SCRIPT - Dați acestei variabile un nume de atribut comun (nu un nume afișat LDAP) strAttrName - " " ' De exemplu: surname ' END CONFIGURARE set objRootDSE - GetObject!"LDAP://RootDSE") set objAttr - GetObject("LDAP- //cn-" & strAttrName & & objRootDSE Get("schemaNamingContext")) objAttr GetInfo WScrlpt Echo "Proprietăți pentru" & strAttrName & D splayAttributes(objAttr ADsPath) Un comentariu Soluțiile de linie de comandă și VBScript au indicat că doriți să specificați numele comun al atributului care vă interesează, adică numele său distinctiv relativ, reprezentat de valoarea atributului cn Astfel, atributul prenume are ral encorp in padure com următorul DN: cn-surname cn-schema cn-configurati on,dc°ra encorp dc"com Cu toate acestea, aceasta este o problemă pentru mulți administratori Acest lucru se datorează faptului că majoritatea aplicațiilor se referă la atribute prin numele lor afișate LDAP, care sunt definite în atributul IDAPDisplayName al obiectului attributeSchema Valoarea atributului DAPD spl ayName este de obicei diferită de valoarea atributului sp - normal Adăugarea unei noi clase numele atributului cerut De exemplu, numele atributului comun pentru nume este surname, dar numele său afișat LDAP este sn Dacă în loc de numele normal al unui obiect, doriți să specificați numele său afișat LDAP pe linia de comandă, pur și simplu înlocuiți linia cn- cu AP і p ayMate- Adevărat, într-un script în limbajul VBScript, acest lucru nu este atât de ușor de făcut Dacă utilizați numele comun, puteți apela metoda GetObject deoarece cunoașteți numele distinctiv al obiectului attributeSchema Dacă doriți să utilizați în schimb valoarea atributului DAPD spl ayName, trebuie să rulați o interogare ADO cu un criteriu de căutare similar cu cel specificat pe linia de comandă Unul dintre atributele importante ale obiectului attributeSchema este systemFlags, un set de indicatori de biți care reprezintă câteva proprietăți de atribute suplimentare Alocarea biților acestui atribut este descrisă în Tabelul de mai jos Proprietățile oricărui atribut pot fi combinate, așa cum este indicat de valorile atributului systemFlags De exemplu, o valoare de ( + ) indică faptul că atributul este unul dintre atributele standard Active Directory și nu este replicat Tabelul Valorile de biți ale atributului systemFlags Descrierea valorii Atributul nu este replicat controlerelor de domeniu Valoarea atributului este calculată dinamic de Active Directory Atribut standard Active Directory (setat automat) Vezi si Rețeta (Capitolul ) vă spune cum să vizualizați atributele unui obiect, iar Rețeta (Capitolul ) vă spune cum să căutați după valori individuale de biți Adăugarea unei noi clase Problemă Trebuie să adăugați o nouă clasă la schema Active Directory Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic dreapta pe containerul Classes și selectați Creare clasă din meniul cu comenzi rapide Faceți clic pe butonul Următorul pentru a confirma că doriți să extindeți schema Pe Windows , trebuie să acordați permisiunea de a modifica schema înainte de a putea urma pașii din această rețetă Cum se face acest lucru este descris în rețeta Capitolul Schema Active Directory Introduceți informații despre noul atribut Faceți clic pe butonul Terminare Folosind interfața liniei de comandă Pentru a crea clase noi, puteți folosi utilitarul Idifde, care va citi informații despre ele din fișierul LDIF pe care l-ați creat Un exemplu de astfel de fișier numit create dass ldf care conține informații despre clasa ral encorp-Sa esUser este dat mai jos- dn : cn=ral encorp-SalesUser cn-schema cn=configuration tipul de schimbare: adăugare objectclass: classSchema DAPDi splayName: ral encorp-SalesUser guvernsld: objectClassCategory: subClassOf: top descriere: clasă auxiliară pentru atributele utilizatorului de vânzări adminDescription; Clasa auxiliară pentru atributele utilizatorului de vânzări poateConține: rallencorp-Buildlng mayContain teatru rallencorp Odată ce fișierul este creat, rulați următoarea comandă și modificările pe care le descrie vor fi aplicate schemei: > Idifde -v -i -f create class ldf Folosind un script VBScript Acest cod arată cum să creați un atribut numit ral encorp-SalesUser ' Se așteaptă ca acest script să fie executat de către utilizator ' un membru al grupului Schema Admins set objRootDSE =■ GetObject("LDAP://RootDSE") set objSchemaCont = GetObjectCLDAP://" & objRootDSE Get("schemaNamingContext")) set objClass - objSchemaCont CreateC"classSchema", "cn-rallencorp-SalesUser") objClass Put "IDAPDisplayName", "rallencorp-SalesUser" objClass Pune "governsld" " " objClass Pune "objectClassCategory", objClass Pune "subClassOf" "top" objClass Pune "adminDescription" "Limbi pe care le vorbește un utilizator" objClass Pune "mayContain" Array("ral encorp-Bui di ng" "ral encorți-Teatru") objClass SetInfo WScrlpt Echo "Clasă creată" Un comentariu Pentru a crea o clasă, trebuie să adăugați un obiect classSchema la containerul Schema Cele mai importante atribute de setat pentru acest obiect sunt: o guvernsld - clasa OID; O objectClassCategory este tipul clasei; Despre subClassOf - clasa părinte; Vizualizarea atributelor clasei O mayContain și mustContain sunt liste de atribute opționale și obligatorii ale obiectelor din această clasă În plus, trebuie să setați atributul DAPDi spl ayName, căruia i se atribuie de obicei numele obișnuit al clasei (valoarea atributului sp) Și, deși în multe clase standard, valorile acestor două atribute nu se potrivesc , se recomandă ca acestea să fie aceleași, ceea ce va evita erorile atunci când vă referiți la clasă De asemenea, are sens să setați valoarea atributului IDGUID schema, mai ales dacă intenționați să efectuați orice operațiuni cu drepturi ridicate Vezi si Secțiunea listează atributele obiectului classSchema, Rețeta spune cum să obțineți un OID pentru o clasă nouă, iar Rețeta arată cum să generați un GUID pentru acesta, respectiv cum să setați protecția implicită a clasei și cum să efectuați o reîncărcare a schemei Vizualizarea atributelor clasei Problemă Doriți să vedeți lista atributelor de clasă din Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Classes În panoul din dreapta, faceți dublu clic pe numele clasei care vă interesează Vizualizați conținutul fiecărei file unul câte unul Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele obișnuit al clasei care vă interesează (nu numele afișat LDAP): > dsquery * cn= cn= cPeta cn"SopT diga op -scope J base -attr * Folosind un script VBScript ' Acest cod imprimă atributele obiectului classSchema dat Codul funcției DisplayAttributesO este furnizat în Rețeta (Capitolul ) ' CONFIGURARE SCRIPT - ' Dați acestei variabile un nume obișnuit de clasă (nu un nume afișat LDAP) strClassName - " " ' De exemplu: utilizator Capitolul Schema Active Directory ' TERMINAREA CONFIGURĂRII - set objRootDSE - GetObject("LDAP://RootDSE") set objClass - GetObjectC'LDAP://cn-" & strClassName & & obj RootDSE Get("schema hlami ngContext"Y) objClass GetInfo WScrlpt Echo "Proprietăți pentru" și strClassName DisplayAttributestobjClass ADsPath) Un comentariu Lista celor mai importante atribute ale obiectului cl assSchema și o scurtă descriere a acestora sunt date în Tabel Vezi si Consultați Rețeta (Capitolul ) pentru cum să vizualizați atributele unui obiect și vedeți Rețeta - pentru cum diferă un nume normal de un nume afișat Indexarea atributelor Problemă Este necesară indexarea atributului pentru a accelera căutarea obiectelor după valorile sale Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Atribute În panoul din dreapta, faceți dublu clic pe atributul pe care doriți să îl indexați Bifați caseta de selectare Index this attribute Faceţi clic pe butonul OK Folosind interfața liniei de comandă Puteți folosi utilitarul Idifde pentru a indexa un atribut Creați un fișier LDIF numit index attribute ldf cu următorul conținut: dn: cn" cn-schema cn-configuration changetype: modify replace: searchFlags searchFlags: * i Pe Windows , trebuie să activați modificarea schemei înainte de a putea urma pașii din această rețetă Consultați Rețeta pentru cum să faceți acest lucru Indexarea atributelor Apoi rulați această comandă: > Idifde -v -i -f atribut index ldf Folosind un script VBScript ' Acest cod indexează atributul dat ' - CONFIGURARE SCRIPT ' Dați acestei variabile un nume de atribut personalizat (nu numele afișat RSA) strAttrName - ~ " ' De exemplu: rallencorp-LanguagesSpoken ' - END CONFIGURATION set objRootDSE - GetObjectCLDAP://RootDSE") set objAttr - GetObjectCLDAP://cn-'' & strAttrName & & objRootDSE Get("schemaNamlngContext")) objAttr Pune "searchFlags" objAttr SetInfo WScript Echo "Atribut indexat: " și strAttrName NOTĂ - Soluțiile de linie de comandă și VBScript presupun că valoarea atributului searchFlags nu este setată Prin urmare, o nouă valoare este pur și simplu scrisă în acest atribut, fără a lua în considerare setările specificate Rețeta (Capitolul ) oferă o soluție mai bună care vă permite să înlocuiți nu toți, ci doar biți individuali Un comentariu Pentru a indexa un atribut, atributul searchFlags al obiectului attributeSchema trebuie setat la bitul ( ) Atributul searchFlags este un set de steaguri care reprezintă proprietățile speciale ale atributului legate de căutarea acestuia, cum ar fi modul în care este indexat și dacă căutarea poate folosi algoritmul ANR Lista steagurilor incluse în acesta este dată în tabel (vezi rețeta ) Când specificați o valoare pentru atributul searchFlags, este adesea necesar să setați mai mulți biți simultan De exemplu, pentru a indexa un atribut și a-l include în setul de atribute care pot fi căutate folosind algoritmul ANR, atributul searchFlags trebuie setat la ( + ) Pentru a găsi toate atributele schemei indexate, căutările trebuie efectuate folosind criteriile enumerate mai jos: o bază - cn=Schema,cn=Conf guration ; O filtru - (&(objectcategory=attributeSchema)(searchFlags:l = )); Despre zona de căutare - un singur nivel Dacă trebuie să găsiți atribute care, dimpotrivă, nu sunt indexate, setați următorul filtru: (&(objectcategory=attributeSchema)(!(searchFlags: :- ))) Vezi si Rețeta (Capitolul ) arată cum puteți schimba steaguri individuale în atribute care sunt un set de steaguri, iar rețeta W arată cum să adăugați l*s Capitolul II Schema Active Directory noi atribute Consultați și MS KB (Setarea proprietății searchFlags a unui atribut pentru a fi indexată pentru ANR) Selectarea atributelor de copiat cu contul de utilizator Problemă Doriți să adăugați atributul la lista de atribute care sunt copiate atunci când copiați un cont de utilizator utilizând snap-in-ul Utilizatori și computere Active Directory Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Atribute În panoul din dreapta, faceți dublu clic pe atributul de interes Selectați caseta de selectare Atributul este copiat la duplicarea unui utilizator și faceți clic pe OK Folosind interfața liniei de comandă Puteți utiliza utilitarul di -fde pentru a seta un atribut pentru a copia atributul atunci când copiați un cont Creați un fișier LDIF numit add dup user attr ldf cu următorul conținut: dn: cn'ga encorp-LanguagesSpoken cn-=schema,cn-=conf gurati on changetype: modify replace: searchFlags searchFlags: Apoi rulați următoarea comandă: > Idifde -v -i -f add dup user attr ldf Folosind un script VBScript Acest cod adaugă un atribut la lista de atribute copiat la copierea unui cont de utilizator - CONFIGURARE SCRIPT Dați acestei variabile un nume de atribut personalizat (nu un nume afișat LDAP) strAttrName - n \ O filtru - (&(objectcategory= attributeSchema)(searchFlags:l := )); Despre zona de căutare - un singur nivel Dacă trebuie să găsiți atribute care, dimpotrivă, nu sunt copiate împreună cu contul de utilizator, setați următorul filtru: (&(objectcategory-attributeSchema)(!(searchFlags: :- ))) Vezi si Rețeta (Capitolul ) arată cum să schimbați steaguri individuale în atribute care sunt seturi de steaguri, iar Rețeta arată cum să adăugați noi atribute la schemă Selectarea atributelor pentru care se va efectua căutarea ANR Problemă Trebuie să specificați ce atribute pot fi căutate folosind algoritmul ANR Soluția Utilizarea interfeței grafice cu utilizatorul Indexați atributul, apoi faceți următoarele: Pe Windows , modificarea schemei trebuie să fie activată înainte de a putea urma pașii din această rețetă Cum se face acest lucru este descris în rețeta Capitolul Schema Active Directory Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Atribute În panoul din dreapta, faceți dublu clic pe atributul pe care doriți să îl editați În fereastra de proprietăți, bifați caseta ANR (Perform Ambiguous Name Resolution (ANR)) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit add anr attr ldf cu următorul conținut: dn: cn=*ral encorp-LanguagesSpoken cn-schema cn-configurati on, changetype: modify replace: searchFlags searchFlags: Apoi rulați următoarea comandă: > Idifde -v -i -f add anr attr ldf Folosind un script VBScript ' Acest cod include atributul în lista ANR ' - CONFIGURARE SCRIPT - ' Dați acestei variabile un nume de atribut personalizat (nu numele afișat RSA) strAttrName = " " ' De exemplu ral!encorp-LanguagesSpoken ' END CONFIGURATION set objRootDSE - GetObject("LDAP://RootDSE") set objAttr = GetObject! "Africa de Sud://cn=" & strAttrName obj RootDSE Get("schemaNamingContext")) objAttr Pune "searchFlags" objAttr SetInfo WScript Echo "Atribut ANR nou: " și strAttrName NOTĂ - Soluțiile de linie de comandă și VBScript presupun că valoarea atributului searchFlags nu este setată Prin urmare, o nouă valoare este pur și simplu scrisă acestui atribut, fără a lua în considerare setările existente Rețeta (Capitolul ) oferă o soluție mai bună care vă permite să înlocuiți nu toți, ci doar biți individuali Un comentariu ANR este un algoritm de căutare eficient care utilizează filtre complexe care conțin un singur semn egal De exemplu, filtrul ANR (anr=Jim Smith) se traduce în trei filtre O filtru R, în care fiecare atribut pentru care este activat ANR este comparat cu o valoare Jim Smith*; Selectarea atributelor pentru care se va efectua căutarea ANR O filtru datNume - Jim* AND sn - Smith*; O filtru datNume - Smith* AND sn - Jim* Toate cele trei filtre sunt combinate folosind operația R, iar expresia de filtru rezultată este utilizată de Active Directory pentru a efectua operația de căutare Deoarece toate atributele care pot fi căutate folosind algoritmul ANR sunt indexate, interogarea rulează rapid Mai jos este o listă de atribute pentru care căutările ANR sunt activate în mod implicit Numele afișat LDAP este afișat primul, urmat de numele normal din paranteze Despre displayName(Display-Name); O givenName (Given-Nume), * O legacyExchangeDN (Legacy-Exchange-DN); O msDS-AdditionalSamAccountName (ms-DS-Additional -Sam-Account-Name); O physicalDeliveryOfficeName (Physical-Delivery-Office-Name); O nume (RDN); O sAMAccountName(SAM-Cont-Nume); O sn(Nume) NOTĂ - Atributul msDS-AdditionalSamAccountName a fost inclus doar în lista de mai sus în Windows Server Dar înainte ca un atribut să poată fi inclus în lista ANR, acesta trebuie indexat Căutările folosind algoritmul ANR sunt concepute pentru a fi rapide, iar dacă orice atribut nu este indexat, va încetini foarte mult căutarea Pentru a găsi atribute care au activată căutarea ANR, specificați următoarele criterii de selecție O bază - cn=Schema cn=Configuration ; O filtru - (&(objectcategory-attributeSchema)(searchFlags T :° )); Despre zona de căutare - un singur nivel Dacă doriți să găsiți atribute pentru care căutarea ANR nu este activată, setați următorul filtru: (&(objectcategory=attributeSchema)(! (searchFlags:! = ))) Vezi si Rețeta (Capitolul ) arată cum să schimbați steaguri individuale în atribute care sunt un set de steaguri, iar Rețeta arată cum să adăugați noi atribute la schemă Examinați MS KB (Rezoluție de nume ambiguă pentru LDAP în Windows ) și MS KB (Setarea proprietății searchFlags a unui attnbute pentru a fi indexată pentru ANR) Capitolul Schema Active Directory Adăugați sau eliminați un atribut din catalogul global Problemă Un atribut trebuie adăugat sau eliminat din catalogul global Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Atribute În panoul din dreapta, faceți dublu clic pe atributul dorit Bifați caseta de selectare Replicare acest atribut în catalogul global pentru a adăuga atributul în catalogul global sau debifați caseta de selectare pentru a elimina atributul din catalogul global Faceţi clic pe butonul OK Folosind interfața liniei de comandă Atributul poate fi adăugat la catalogul global folosind utilitarul Idifde Pentru a face acest lucru, trebuie să creați un fișier LDIF cu următorul conținut: dn: cn\'' cn-schema cn-configuration changetype: modify înlocuiți: isMemberOfParti alAttri buteSet isMemberOfParty alAttr i buteSet: TRUE și apoi rulați următoarea comandă (presupunând că fișierul este numit add gc attr ldf) > Idifde -v - -f add gc attr ldf Folosind un script VBScript Acest cod adaugă un atribut la catalogul global ' CONFIGURARE SCRIPT Dați acestei variabile un nume de atribut comun (nu un nume afișat LDAP) strAttrName - " " ' De exemplu: surname Setați la TRUE pentru a adăuga un atribut la catalogul global, sau FALSE pentru a-l elimina - boolAddtoGC = TRUE ' TERMINAREA CONFIGURAȚIEI - set objRootDSE - GetObject('LDAP://RootDSE") set objAttr - GetObjectCLDAP //cn-" & strAttrName & & objRootDSE Get("schemaNamlngContext")) * i Pe Windows , trebuie să activați modificarea schemei înainte de a putea urma pașii din această rețetă Consultați Rețeta pentru cum să faceți acest lucru Adăugați sau eliminați un atribut din catalogul global objAttr Put "isMemberOfPartialAttributeSet" boolAddtoGC objAttr SetInfo WScrlpt Echo "Atribut adăugat la GC: " și strAttrName Un comentariu Fiecare controler de domeniu din pădure conține o copie a partiției sale de domeniu, precum și copii ale configurației la nivelul întregii păduri și ale partițiilor schemei Ca server de catalog global, acesta conține, de asemenea, copii parțiale numai pentru citire ale tuturor obiectelor din alte domenii din pădure Catalogul global este utilizat atunci când mai multe contexte de denumire trebuie căutate Rețineți că stochează un subset de atribute ale obiectului, adică o replică parțială Setul de atribute care sunt replicate în catalogul global include fie atributele care vor fi utilizate pentru selectarea datelor, fie cele care urmează să fie returnate dintr-o căutare globală în catalog Pentru a include un atribut în catalogul global, setați atributul sMemberOfPartial Set atribut al obiectului attributeSchema la TRUE și pentru a-l elimina din acesta, la FALSE NOTĂ - - În Windows , de fiecare dată când un atribut a fost adăugat la un catalog, conținutul catalogului global a fost complet sincronizat pe toate serverele sale În sistemele cu un număr mare de domenii, o cantitate imensă de date a fost transferată între servere în acest caz În Windows Server , această deficiență a fost corectată și sincronizarea completă nu mai este efectuată Rețineți că ștergerea unui atribut din catalogul global nu a provocat sincronizarea completă nici măcar pe Windows Pentru a căuta atribute legate de catalogul global, specificați criteriile de căutare enumerate mai jos: O bază - cn=Schema cn=Configurare, ', O filtru - (&(objectcategory=attributeSchema)(isMenterOfPartialAttributeSet-TRUE)); Despre zona de căutare - onelevel Dacă trebuie să găsiți atribute care nu sunt în catalogul global, specificați următorul filtru: ( sMemberOfParti a Attr buteSet-FALSE) Vezi si Documente MS KB (Cum se controlează ce date sunt stocate în catalogul global), MS KB (CUM SE: Enumerează atributele replicate în catalogul global), MS KB (atributele catalogului global și proprietățile de replicare), MS KB ( Cum se modifică atributele care se reproduc în catalogul global), MS KB (Set de atribute implicite comune pentru Active Directory și Catalogul global) și MS KB (CUM PENTRU: Adăugați un atribut la Catalogul global în Windows ) Capitolul Schema Active Directory Căutați atribute nereplicate și calculate Problemă Doriți să găsiți atribute care nu sunt replicate sau atribute ale căror valori nu sunt stocate în Active Directory, ci sunt calculate dinamic Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server (Server), introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola pentru acest domeniu, apoi faceți clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al containerului Schema (Scheme), de exemplu: cn-schema cn-configuration, dc=ra encorp,dc-com În zona Scop, setați comutatorul la Ope Level Găsiți atribute nereplicate folosind filtrul (&(object-category=attri buteSchema)(systemFlags: := )) I Pentru a căuta atribute cu mai multe valori, introduceți filtrul (&(objectcategory=at-tr buteSchema)(systemFlags: := )) Faceți clic pe butonul Run Folosind interfața liniei de comandă Căutarea atributelor nereplicate se efectuează utilizând următoarea comandă: > dsquery * cn-schema,cn-configuration -scope onelevel -attr "cn"j -fi ter "(&(obj ectcategory=attri buteSchema)(systemF ags: ))" Pentru a căuta atribute cu mai multe valori, introduceți următoarea comandă: > dsquery * cn=schema cn-configuratiop -scope onelevel -attr "cn"j -filter "(&(objectcategory-attributeSchema)(systemFÎags: :- ))" Folosind un script VBScript Acest cod listează atributele nereplicate și calculate set objRootDSE = GetObject("LDAP://RootDSE") strBase - " ) Rezultatul unei astfel de încercări va fi un mesaj de eroare Dar rezultatul interogării poate conține valori ale atributelor calculate Pentru a găsi toate atributele nereplicate sau calculate, trebuie să specificați un filtru LDAP pe biți, specificând valorile steagurilor corespunzătoare din acesta i lava ii monsiè uireciory schema din atributul systemFlags al obiectului attributeSchema O valoare de indică faptul că atributul nu este replicat, iar o valoare de indică faptul că atributul este calculat Vezi si Rețeta (Capitolul ) explică cum se efectuează o căutare pe biți Găsirea atributelor înrudite Problemă Este necesar să găsiți atribute înrudite Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server (Server), introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola pentru acest utilizator de domeniu și faceți clic pe butonul OK Executați comanda Răsfoire > Căutare (Căutare ► Găsiți) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al containerului Schema (Scheme), de exemplu: cn=schema cri'configuration, dc=ral encorp dc-com În zona Scop, setați comutatorul la Un nivel Pentru a căuta atribute înrudite, specificați un filtru" (&(objectcategory-attributeSchema)( nkid=*)) I Faceți clic pe butonul Run Folosind interfața liniei de comandă > dsquery * cn-schema cn=configuration -scope onelevel -fllteru "(&(objectcategory=attributeSchema)( nkid=*))" -attr cn linklD Folosind un script VBScript Acest cod tipărește o listă de atribute asociate și valorile corespunzătoare ale atributului lor linklD set ObjRootDSE = GetObject("LDAP://RootDSE") strBase - " dsquery * cn-schema cn-configuration, -limit -scope onelevelJ -filter "(objectcategory-classSchema)" -attr IDAPDisplayName objectclasscategory i lava iu, uxeMd nіlіѵe iіііеіliіu Folosind un script VBScript ' Acest cod tipărește o listă de clase de tipul dat • - CONFIGURARE SCRIPT - ' Setați următoarele constante la TRUE sau FALSE, oricare dintre ele ' doriți să listați clase de tipul potrivit boolShowStructural - TRUE boolShowAuxiliary = TRUE boolShowAbstract - TRUE boolShow - TRUE ' - TERMINAREA CONFIGURĂRII set objRootDSE - GetObjectCLDAP://RootDSE") set objSchemaCont - GetObject ("LDAP://cn-scherna," & obj RootDSE Get("conf i gurati onNami ngContext")) objSchemaCont Filter = Arrayf"classSchema") WScript Echo "Încărcarea claselor va dura câteva secunde " pentru fiecare objClass din objSchemaCont WScript StdOut WriteC ") if objClass Get("objectClassCategory") " atunci str e str & vbTab & objClass GetClDAPDisplayName") & vbCrlf el seif objClass GetCobjectCl assCategory") - apoi strStruct - strStruct&vbTab& objClass GetClDAPDisplayName") și vbCrlf el seif objClass GetCobjectCl assCategory") - atunci strAbst = strAbst & vbTab & ObjClass GetClDAPDisplayName") & vbCrlf el seif objClass GetCobjectCl assCategory") - atunci strAux = strAux & vbTab & ObjClass GetClDAPDisplayName") & vbCrlf else WScrlpt Echo "Tip de clasă necunoscut" & ObjClass GetClDAPDisplayName") și vbCrlf sfârşitul dacă Următorul WScript Echo vbCrlf dacă boolShowStructural = TRUE atunci Wscript Echo "Clase structurale: " WScript Echo strStruct '■ 'Seri pct ecou sfârşitul dacă dacă boolShowAbstract = TRUE atunci Wscript Echo "Clasuri abstracte: " WScript Echo strAbst WScript Echo sfârşitul dacă dacă boolShowAuxiliary = TRUE atunci WScrlpt Echo "Clasele auxiliare: " WScript Echo strAux WScript Echo sfârşitul dacă dacă boolShow = TRUE atunci WScrlpt Echo " de clase:" WScrlpt Echo str WScrlpt Echo sfârşitul dacă Găsirea atributelor clasei Un comentariu Active Directory acceptă patru tipuri de clase de obiecte: , Structural (Structural), Abstract (Abstract) și Auxiliary (Special) Descrierea lor este dată în tabel Tipul unei anumite clase este specificat în atributul objectCl assCategory al obiectului ci assSchema corespunzător Tabelul Tipuri de clase de schemă Active Directory Nume Valoare Descriere Un tip de clasă moștenit definit în standardul X Nu este recomandat să îl utilizați pentru a crea clase noi Structural Proiectat pentru crearea de obiecte Poate consta din clase abstracte, speciale și alte clase structurale Abstract Folosit pentru a defini grupuri de atribute care pot fi incluse în definițiile altor clase abstracte sau structurale Este imposibil să creezi obiecte pe baza acestuia Auxiliary Folosit ca un set de atribute care pot fi incluse în abstract, struct și alte clase speciale Găsirea atributelor clasei Problemă Doriți să vedeți o listă de atribute de clasă obligatorii sau opționale Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic pe containerul Classes În panoul din dreapta, faceți dublu clic pe numele clasei care vă interesează În fereastra de proprietăți, deschideți fila Atribute și vizualizați atributele Folosind interfața liniei de comandă > dsquery * cne ,cn-schenia cn-configuration - J -scope base -attr mayContain mustContain systemMayContaln systemMustContain Folosind un script VBScript ' Acest cod listează atributele de clasă obligatorii și opționale ' CONFIGURARE SCRIPT - ' Dați acestei variabile un nume normal de clasă (nu numele afișat RSA) strClassName - " " ' De exemplu: Surname - SFÂRȘIT CONFIGURARE Capitolul Schema Active Directory set objRootDSE - GetObjectC"LDAP://RootDSE") set objClass - GetObject("LDAP://cn-" & strClassName & & objRootDSE Get("schemaNami ngContext")) WScrlpt Echo "Class:" și strClassName și vbCrlf ' În cazul în care atributul nu este setat pe eroare, reluați în continuare WScnpt Echo "mayContain:" pentru fiecare strVal din objClass Get("mayContain") WScript Echo vbTab și strVal în continuare WScrlpt Echo vbCrlf și "systemMayContain:" pentru fiecare strVal din objClass Get("systemMayContain") WScript Echo vbTab și strVal în continuare WScnpt Echo vbCrlf & "mustContain:" pentru fiecare strVal din objClass Get("mustContain") WScnpt Echo vbTab & strVal Următorul WScript Echo vbCrlf & "systemMustContain:" pentru fiecare strVal din objClass Get("systemMustContain") WScrlpt Echo vbTab & strVal Următorul Un comentariu Atributele mayContain și systemMayContain conțin o listă de atribute opționale ale unei anumite clase, în timp ce atributele mustContain și systemMustContain conțin o listă a atributelor necesare ale acesteia Valorile atributelor systemMayContain și systemMustContain sunt setate automat de Active Directory și nu le puteți modifica singur Când adăugați nume de atribute la atributul mustContain al unei clase existente, fiți foarte atenți, deoarece obiectele care nu au atributele pe care le setați sunt invalidate Trebuie remarcat faptul că în fiecare dintre soluțiile de mai sus, numai acele atribute care sunt definite în mod explicit sunt afișate Numele atributelor moștenite definite în clasele strămoși nu sunt afișate Modificați setările de securitate ale clasei Problemă Doriți să modificați setările de securitate implicite care sunt setate pentru obiectele din această clasă pe care le creați Dezactivarea claselor și atributelor Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, deschideți containerul Ciasses În panoul din dreapta, faceți dublu clic pe numele clasei necesare În fereastra de proprietăți ale clasei, deschideți fila Securitate implicită și faceți setările necesare Faceţi clic pe butonul OK Un comentariu Fiecare obiect creat în Active Directory are asociat un "Descriptor de securitate" (SD) implicit și i se aplică setările de securitate ale containerului părinte Descriptorul de securitate implicit este stocat în atributul defa-ultSecurityDescriptor al obiectului classSchema Dacă modificați valoarea acestui atribut, fiecare obiect care este creat va primi noul descriptor de securitate pe care îl specificați, dar descriptorul va rămâne același pentru obiectele create anterior Vezi si Document MS KB (H W TO: Modificarea permisiunilor implicite pentru obiectele care sunt create în Active Directory) Dezactivarea claselor și atributelor Problemă Doriți să dezactivați o clasă sau un atribut din schema Active Directory deoarece nu mai este necesar Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, deschideți containerul Ciasses (Class) sau Attrlbutes (Attributes) Faceți dublu clic pe numele clasei sau al atributului pe care doriți să-l dezactivați În caseta de dialog Proprietăți, pe fila General, debifați caseta de selectare Clasa este activă sau Atributul este activ și faceți clic pe OK Pe Windows , modificarea schemei trebuie să fie activată înainte de a putea urma pașii din această rețetă Cum se face acest lucru este descris în rețeta Capitolul Schema Active Directory Folosind interfața liniei de comandă Dezactivarea unei clase sau a unui atribut se poate face folosind utilitarul dl fde Creați un fișier LDIF denumit deactlvate class ldf cu următorul conținut: dn-cn* cn-schema cn-configuration changetype: modificați " înlocuiți: isDefunct isDefunct: TRUE apoi rulați următoarea comandă: > Idifde -v -i -f deactivate class ldf Folosind un script VBScript ' Acest cod dezactivează o clasă sau un atribut ' CONFIGURARE SCRIPT strName - " " ' De exemplu: ral encorp-LanguagesSpoken ■ TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectCLDAP://RootDSE") set objSchemaObject - GetObject ("LDAP://cn"" & strName & objRootDSE Get("schemaNamingContext")) objSchemaObject Put "isDefunct" TRUE obj SchemaObject SetInfo Wscript Echo "Obiect schemă dezactivat" și strName Un comentariu Active Directory nu vă permite să eliminați clase și atribute dintr-o schemă, dar vă permite să le dezactivați sau să le dezactivați Cu toate acestea, înainte de a putea face acest lucru, trebuie să vă asigurați că nu există obiecte din această clasă în director Dacă doriți să dezactivați un atribut, ar trebui să verificați dacă este utilizat într-una dintre clase, fie ca necesar, fie ca opțional Clasa sau atributul poate fi apoi dezactivat prin setarea atributului sDefunct al obiectului care îl reprezintă la TRUE Poate fi reactivat mai târziu, dacă se dorește, setând atributul specificat la FALSE În Windows Server Active Directory, dacă un atribut sau o clasă este dezactivată, puteți chiar să o înlocuiți (Astfel, numele de clasă sau de atribut pot fi reutilizate) Redefinirea claselor și atributelor Problemă Doriți să înlocuiți o clasă sau un atribut creat anterior Soluția Pentru a suprascrie o clasă sau un atribut, trebuie mai întâi să îl dezactivați setând atributul isDefunct al obiectului care îl reprezintă la Această rețetă necesită ca nivelul funcțional al pădurii să fie Windows Server Reîncărcare schema ADEVĂRAT (vezi rețeta ) Înainte de a dezactiva o clasă, trebuie să vă asigurați că nu există obiecte din această clasă în catalog, iar înainte de a dezactiva un atribut, trebuie să verificați dacă este folosit într-una dintre clase (adică dacă nu este inclus) în listele systemMustContain, mustContain, systemMayContain și mayContain) După dezactivarea unei clase sau a unui atribut, puteți modifica numele afișat LDAP, OID (atributele guvernsID și attributeID), sintaxa (atributele atributeSyntax și oMSyntax) și valoarea atributului schemaIDGUID Singurul atribut care nu poate fi modificat este numele comun (cn) al clasei sau al atributului Un comentariu Capacitatea de a redefini obiectele de schemă a fost introdusă numai în Windows Server Deși încă nu puteți șterge obiecte dintr-o schemă , acum puteți face acest lucru fără a efectua o operație de ștergere atunci când trebuie să le redefiniți Redefinirea obiectului se realizează, în special, dacă faceți o greșeală la introducerea OID-ului (când completați atributele guvernsID și attributeID) sau numele afișat LDAP, sau când se știe că atributul creat anterior nu mai este necesar Numele unui astfel de atribut (inutil) poate fi reutilizat prin definirea unei noi sintaxe pentru acesta Vezi si Rețeta vă spune cum să dezactivați clasele și atributele Reîncărcare schema Problemă Cache-ul schemei trebuie reîncărcat pentru ca modificările schemei să aibă efect Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, faceți clic dreapta pe elementul Schema Active Directory și selectați Reîncărcați Schema din meniul contextual care se deschide În Windows cu Service Pack până la versiunea , această posibilitate există Mai multe informații despre aceasta pot fi găsite la http- //vww wlnnefcmag com/Artides/Index cfm?Artide-ID= Capitolul Schema Active Directory Folosind interfața liniei de comandă Schema poate fi reîncărcată folosind utilitarul Idifde Creați un fișier LDIF numit reload ldf cu următorul conținut: dn: tipul de modificare: modificare adăugare schemaUpdateNow schemaUpdateNow: apoi rulați următoarea comandă: > Idifde -v -i -f reload ldf Folosind un script VBScript set objRootDSE - GetObject ("LDAP://dcl/RootDSE") objRootDSE Puneți "schemaUpdateNow" objRootDSE SetInfo WScript Echo "Schema reîncărcată" Un comentariu Fiecare controler de domeniu menține o copie completă a schemei în memorie, făcându-l mult mai rapid de accesat Această copie este numită schema cache Când extindeți o schemă pe schema master, modificările pe care le faceți sunt scrise în cache, dar nu pe disc Discul este scris automat la fiecare cinci minute Această operație poate fi efectuată și manual sau programatic prin setarea atributului schemaUpdateNow al obiectului RootDSE pe masterul schemei Odată ce faceți acest lucru, orice modificări pe care le faceți schemei vor fi scrise pe disc Accelerarea procesului de actualizare a schemei are sens dacă doriți să adăugați o altă extensie la schema care utilizează extensiile adăugate anterior (de exemplu, creați o clasă care conține atributul nou creat) Dacă scriptul dvs creează un atribut și apoi creează imediat o clasă folosindu-l, veți primi o eroare care spune că atributul nu există Prin urmare, trebuie mai întâi să creați atributul, să reîncărcați schema și apoi să creați clasa Iată codul LDIF care face treaba: dn: cn-ral encorp-TestAttr cn=schema cn-conf guration,dc=ral encorp dc-com changetype: add objectclass: attributeSchema iDAPDisplayName: rallencorp-TestAttr attributeld: o MS: attributeSyntax: isSingleValued: FALSE searchFlags: dn: tipul de schimbare: modificare adăuga: schemaUpdateNow schemaUpdateNow: Reîncărcare schema dn: cn-ral encorp-TestClass cn-schema cn-configuration dc-ral encorp dc-com tipul de schimbare: adăugare objectclass: classSchema DAPDi splayName ral encorp-TestClass guvernsld: subClassOf: top objectCIassCategory: mayContain: rallencorp-TestAttr Vezi si Rețeta - vorbește despre adăugarea unui nou atribut la o schemă, iar Rețeta - vorbește despre adăugarea unei noi clase la acesta Topologie de rețea Introducere Pentru ca Active Directory să organizeze în mod optim replicarea informațiilor între controlerele de domeniu, pentru a asigura alegerea unui controler pentru deservirea următoarei solicitări de la un client de autentificare la sistem, informațiile despre topologia rețelei trebuie să fie disponibile pentru acesta Acest tip de date sunt prezentate în sistem ca o ierarhie de obiecte care reflectă structura rețelei Pe baza acestor informații, se generează o topologie de replicare, adică schema de conectare a controlerelor de domeniu utilizate la schimbul de replici ale datelor de director La cel mai înalt nivel al ierarhiei se află obiectele site-ului, fiecare dintre acestea reprezintă un site - un grup de segmente de mare viteză ale unei rețele locale Un site poate consta din una sau mai multe subrețele, reprezentate de obiecte subrețea - subdiviziuni ale rețelei IP , fiecare dintre ele având o adresă de rețea unică Pe baza adresei IP a computerului client, Active Directory poate determina ce subrețea și care site îi aparține un anumit client Site-urile sunt conectate între ele prin legături reprezentate de obiecte siteLink, care sunt analoge cu conexiunile WAN În cele din urmă, fiecare controler de domeniu dintr-un site conține unul sau mai multe obiecte de conexiune care definesc conexiuni la alte controlere de domeniu care sunt utilizate pentru replicare Obiectele de topologie de site descrise sunt conținute în containerul Site-uri din secțiunea de configurare Pe fig Figura arată ierarhia topologiei site-ului așa cum apare în fereastra de completare Active Directory Sites and Services Containerul Site-uri conține containere de site individuale și containere care stochează obiecte care definesc legături de site (cn=Transporturi între site-uri) și subrețele (cn=Subrețele) Fiecare site este reprezentat de trei obiecte Primul se numește NTDS Site Settings, iar atributele sale reprezintă setări de replicare care sunt în vigoare la nivel de site Al doilea obiect, Setările site-ului de licență, poate fi folosit pentru a lega computerele dintr-un site la anumite servere de licență Al treilea container, Servere, conține obiecte server, fiecare corespunzând unui controler de domeniu care face parte din site sau unui alt server care ar trebui să fie prezent în topologia site-ului (de exemplu, un server DFS) Introducere JOI Orez Ierarhia topologiei site-ului Obiectul server poate conține un obiect Setări NTDS sau nTDSDSA (Setări NTDS) Prezența sa distinge controlerele de domeniu de serverele membre Atributele obiectului Setări NTDS sunt utilizate la configurarea replicării pentru un anumit controler de domeniu Poate conține unul sau mai multe obiecte nTDSConnection care definesc conexiunile de replicare între controlerele de domeniu Anatomia obiectelor reprezentând topologia site-ului Informațiile despre cele mai importante atribute ale obiectelor care reflectă topologia site-ului sunt prezentate în Tabel - Tabelul atributele obiectului site-ului Descrierea atributului SP Numele distinctiv relativ al obiectului Acest atribut conține numele site-ului (de exemplu, Raleigh) gpLink Lista de GPO legate de site și prioritățile acestora siteObjectBL Un atribut cu mai multe valori care conține o listă de nume distincte de subrețea care sunt asociate cu acest site Tabelul Atributele obiectului nTDSSiteSettings Descrierea atributului cn Numele distinctiv relativ al obiectului, conține întotdeauna șirul NTDS Site Settings InterSiteTopologyGenerator Nume distinctiv al obiectului Setări NTDS al generatorului de topologie inter-site (ISTG) curent continuat^ Capitolul Topologia rețelei Tabelul (continuare) Descrierea atributului msOS-Preferred-GC-Site Dacă memorarea în cache a informațiilor de grup universal este activată, acest atribut conține numele distinct al site-ului de la care controlorii de domeniu obțin informații pentru a actualiza memoria cache Acest atribut este nou pentru Windows Server Consultați și Rețeta (Capitolul ) opțiuni Un set de indicatoare care determină dacă memorarea în cache a informațiilor de grup universal este activată, tranzitivitatea link-urilor site-ului este dezactivată și programările link-urilor site-ului sunt ignorate Vezi și rețeta schedule Un șir binar care stochează programul de replicare implicit Tabelul atributele obiectului de subrețea Descrierea atributului SP Numele distinctiv relativ al obiectului Acest atribut conține numărul și masca de biți ale subrețelei (de ex / ) siteObject Numele distinct al obiectului site-ului căruia este asociată subrețeaua Tabelul Atributele obiectului siteUnk Descrierea atributului SP Numele distinctiv relativ al obiectului Acest atribut conține numele conexiunii cost Un număr care specifică costul unui link de site Vezi și rețeta replInterval schedule Interval de replicare în minute Un șir binar care conține programul de replicare pentru legăturile de site sitelist Un atribut cu mai multe valori pentru stocarea unei liste de nume distinctive ale site-urilor conectate prin acest link Vezi și rețeta Tabelul atributele obiectului serverului Descrierea atributului br dgeheadTransportList Atribut cu valori multiple care conține o listă de protocoale de transport (de exemplu, IP sau SMTP) pentru care acest server este definit ca master SP Numele distinctiv relativ al obiectului Acest atribut conține numele de gazdă al acestui server dNSHostName Numele de domeniu complet calificat al serverului Active Directory însuși acceptă acest atribut serverReference Numele distinctiv al obiectului computer conținut într-un director dintr-una dintre partițiile de domeniu Introducere Tabelul Atributele obiectului nTDSDSA Descrierea atributului SP Object Relative Distinguished Name Acest atribut conține întotdeauna șirul NTDS Settings invocationID GUID care reprezintă fișierul DIT (ntds dit) de pe controlerul de domeniu hasMasterNCs Un atribut cu mai multe valori care conține o listă de partiții de director care pot fi scrise (cu excepția partițiilor de aplicație) stocate pe un controler de domeniu hasPartialReplicaNCs Un atribut cu mai multe valori care conține o listă de partiții de director numai pentru citire stocate pe controlerul de domeniu Populat numai dacă controlerul de domeniu este un server de catalog global msDS-Behavior-Version Un număr care reprezintă nivelul funcțional al controlerului de domeniu (adică sistemul său de operare) Atributul este nou pentru Windows Server msDS-HasDcmainNCs Numele distinctiv al partiției de domeniu care poate fi scrisă stocată pe controlerul de domeniu Atributul este nou pentru Windows Server msDs-HasInstantlatedNCs Listează toate partițiile de director stocate pe un controler de domeniu Atributul este nou pentru Windows Server msDS-hasPart alRepl caNCs Un atribut cu mai multe valori care conține o listă a numelor distincte ale partițiilor de director numai pentru citire care sunt stocate pe un controler de domeniu Populat numai dacă controlerul de domeniu servește ca server de catalog global Atributul este nou pentru Windows Server msDS-hasMasterNCs Un atribut cu mai multe valori care conține o listă de nume distincte ale partițiilor de director care pot fi scrise și ale partițiilor de aplicație care sunt stocate pe un controler de domeniu Atributul este nou pentru Windows Server opțiuni Un set de indicatori de biți care determină, în special, dacă controlerul de domeniu este un server de catalog global queryPolicydbject Dacă acest atribut este setat, conține numele distinctiv al obiectului de politică de interogare LDAP aplicat controlerului de domeniu JO Capitolul Topologia rețelei Tabelul Atributele obiectului nTDSConnecbon Descrierea atributului SP Relative Object Distinguished Name Pentru conexiunile generate de Knowledge Consistency Checker (KCC), acest atribut conține un GUID enabledConnection Valoare booleană care indică faptul că conexiunea este disponibilă pentru utilizare fromServer Numele distinctiv al obiectului Setări NTDS al controlerului de domeniu care utilizează conexiunea pentru replicare ms-DS-ReplicatesNCReason Un atribut cu mai multe valori care conține o listă de coduri motiv pentru crearea acestei conexiuni Pentru fiecare partiție de director pentru care este utilizată această conexiune, atributul este setat la un element opțiuni Flag Bit, valoarea indică faptul că conexiunea a fost creată folosind CSS, iar valoarea indică faptul că conexiunea a fost creată manual Vezi și rețeta schedule Șir binar care reprezintă programul de replicare pentru link-ul site-ului transportType Numele distinct al obiectului de transport (de exemplu: IP sau SMTP) utilizat pentru conexiune și reprezentând protocolul de transport Crearea site-ului Problemă Doriți să creați un site nou în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic dreapta pe containerul Site-uri și selectați Site nou din meniul contextual care se deschide În câmpul Nume, introduceți un nume pentru noul site În câmpul Link Name, specificați obiectul link site Faceți dublu clic pe butonul OK Crearea site-ului Folosind interfața liniei de comandă Creați un fișier LDIF numit create site ldf cu următorul conținut: dn cn- cn-sites cn-configuration changetype: add objectclass: site dn cn-Licensing Site Settings, cn- cn-s tes cn-conf guration tip de modificare: adăugați clasă obiect: censi ngS teSett ngs dn: cn-NTDS Site Settings, cn- ,cn-sites cn-configurat on changetype: add objectclass nTDSSiteSettings dn: cn-Servers cgv* ,cn-sites,cn-conf gurat on changetype: add objectclass: serversContainer Apoi rulați această comandă: > Idifde -v -i -f create site ldf Folosind un script VBScript ' Acest cod creează obiectele care alcătuiesc site-ul ' CONFIGURARE SCRIPT strSiteName - " " * Napriner: Dallas FĂRĂ CONFIGURARE set objRootDSE - GetObject("LDAP://RootDSE") set objSitesCont - GetObject('LDAP://cn-sites ' & objRootDSE Get("conf guratl onNami ngContext") ) ' Crearea site-ului web set objSite - objS tesCont Create("s te" "cn-" & strSiteName) objSIte SetInfo ' Creați un obiect Setări site de licențiere set objLIcensing - objSite Create("HcensingS teSett ngs" "Setări site-ului de licențiere cn") objSetInfo de licențiere * Creați un obiect Setări site NTDS set objNTDS - objSite Create("nTDSSiteSettings" "cn-NTDS Site Settings") objNTDS SetInfo ' Creați un container de servere set obJServersCont - objSite Create("serversConta ner" ,,cn-Servers") objServersCont SetInfo WScrlpt Echo "Site-ul creat cu succes" și strSiteName Un comentariu Un site din Active Directory este format din mai multe obiecte și tocmai prin crearea lor ar trebui să începeți să lucrați pe site Principalul este obiectul site-ului, care va conține toate celelalte obiecte Capitolul Topologia rețelei A censi ngSi teSetetti ngs - Acest obiect este opțional, dar este creat automat atunci când creați un site utilizând snap-in Site-uri și servicii Active Directory (site-uri și servicii Active Directory); folosit ca un pointer către serverul de licență asociat site-ului Despre nTDSSiteSettings - Conține proprietățile site-ului legate de replicare, cum ar fi programul de replicare, numele principal ISTG curent, flagul de stocare în cache a informațiilor de grup universal o serversContal peg este un container care conține obiecte server reprezentând serverele din acest site; în special, include toți controlorii de domeniu care fac parte din site Ca urmare a creării obiectelor listate, se va obține un site gol În continuare, trebuie să legăm obiectele de subrețea la acest site, reprezentând subrețele (vezi Rețeta ), să îi adăugăm un obiect slteLink, care reprezintă un link de site-uri (vezi Rețeta ) și astfel să-l legăm la alte site-uri Site-ul trebuie apoi să includă controlere de domeniu, după care va fi gata de utilizare Vezi si Document MS KB (H W TO: Creați și configurați un site Active Directory în Windows ) Afișarea unei liste de site-uri Problemă Doriți să vedeți o listă de site-uri disponibile Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic pe containerul Site-uri și panoul din dreapta va afișa o listă cu toate site-urile Pentru a vizualiza proprietățile unui site, faceți dublu clic pe numele acestuia Folosind interfața liniei de comandă Următoarea comandă listează site-urile disponibile: > dsquery stte Următoarea comandă afișează proprietățile site-ului specificat: > dsget site " " Ștergerea unui site Folosind un script VBScript * Acest cod tipărește o listă de obiecte ale site-ului set objRootDSE - GetObjectCLDAP'//RootDSE') set objSitesCont - GetObject('LDAP://cn-sites," & objRootDSE Get("conf gurationNamingContext") ) objSitesCont Filter - ArrayCsite") pentru fiecare objSite din objSitesCont Wscript Echo ' " & objSite GetCcn") Următorul Un comentariu Obiectele site-ului sunt stocate în containerul Sites al partiției de configurare, cum ar fi un container numit cn-sites cn-configuration,dc-ral encorp,dc-com Cum se creează un site nou este descris în rețeta Ștergerea unui site Problemă Doriți să eliminați un site din Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic pe containerul Site-uri În panoul din dreapta, faceți clic dreapta pe numele site-ului de șters și selectați Ștergere din meniul contextual care se deschide Faceți dublu clic pe butonul Da Folosind interfața liniei de comandă > dsrm -subtree -noprompt Folosind un script VBScript ' Acest cod șterge site-ul și toate containerele sale secundare CONFIGURARE SCRIPT strSiteName - " " ' Napriner Dai las ' Sfârșitul configurației set objRootDSE - GetObjectCLDAP://RootDSE") set objSite ■ GetObjectCLDAP ://cn-" & strSiteName & " cn-sites " & objRootDSE Get("configurati onNamingContext") ) ob jSi te DeleteObject( ) WScrlpt Echo "Site-ul șters cu succes" și strSiteName Capitolul Topologia rețelei Un comentariu Înainte de a șterge un site, asigurați-vă că nu conține niciun obiect server activ Dacă ștergeți un site care include controlere de domeniu, aceasta va întrerupe replicarea pentru toate controlerele de domeniu care fac parte din acesta Un script VBScript mai robust ar trebui mai întâi să execute o interogare ADO pentru a obține toate obiectele server care au numele distinctiv al unui anumit site și numai dacă lista rezultată este goală, eliminați site-ul Dacă site-ul conține obiecte server, acestea trebuie mutate pe alte site-uri Rețineți că atunci când ștergeți un site, toate subrețelele și asociațiile asociate cu acesta sunt păstrate Prin urmare, puteți adăuga cod la VBScript care elimină obiectele relevante înainte de a șterge site-ul Creați o subrețea Problemă Trebuie să creați o subrețea în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic dreapta pe containerul Subnets și selectați New Subnet din meniul contextual care se deschide Introduceți o adresă de subrețea, o mască de subrețea care descrie gama de adrese incluse în subrețea, apoi selectați un site pe care să îl asociați cu acea subrețea Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit create subnet ldf cu următorul conținut: dn: cn- ,cn-s ubnets cn-s tes cn-configurat i on changetype: add objectclass: subnet slteObject: cn • cn-sites cn-configurati on Apoi rulați următoarea comandă: > Idifde -v -i -f create subnet ldf Folosind un script VBScript Acest cod creează un obiect de subrețea și îl asociază cu site-ul ' - CONFIGURARE SCRIPT - strSubnet - " și ' De exemplu: / strSite " " " ' De exemplu: Dallas * TERMINAREA CONFIGURĂRII set objRootDSE - GetObject("LDAP://RootDSE") Listarea subrețelelor set objSubnetsCont - GetObject("LDAP://cn-subnets cn-sites " & objRootDSE Get("configurationNamingContext") ) set objSubnet - objSubnetsCont Createi"subnet" "cn-" și strSubnet) objSubnet Puneți "siteObject" "cn-" & strSite & " cn-sites," & objRootDSE Get("configurați onNami ngContext") objSubnet SetInfo WScrlpt Echo "Subrețea creată cu succes" și strSubnet Un comentariu Obiectele de subrețea care reprezintă subrețele sunt situate în containerul Subrețele din secțiunea de configurare, de exemplu: cn=subnets cn-sites,cn=configuration, dc-ral encorp dc=com) Numele distinctiv relativ al unei subrețele este o combinație a adresei și mascai acesteia (de exemplu: / ) Un alt atribut important care ar trebui setat atunci când se creează o subrețea este siteObject, care este numele distinctiv al site-ului cu care este asociată subrețeaua Vezi si Document MS KB (CUM SE: Configurați subrețele în Windows Server Active Directory) Listarea subrețelelor Problemă Doriți să afișați o listă de obiecte de subrețea în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic pe containerul Subrețele și o listă de subrețele va fi afișată în panoul din dreapta Pentru a vizualiza proprietăţile unei anumite subreţele, faceţi dublu clic pe numele acesteia Folosind interfața liniei de comandă Următoarea comandă listează toate subrețelele disponibile: > subrețea dsquery Următoarea este o comandă care afișează proprietățile unei subrețele date Înlocuiți elementul cu adresa și masca de subrețea (de exemplu: / ): > subrețea dsget " " Capitolul Topologia rețelei Folosind un script VBScript ' Acest cod listează toate subrețelele din Active Directory set objRootDSE - GetObject("LDAP://RootDSE") set objSubnetsCont - GetObjectCLDAP://cn-subnets cn-sites " & objRootDSE Get("configurationNamingContext") ) objSubnetsCont Filter - Array("subnet") pentru fiecare objSubnet în objSubnetsCont Wscrlpt Echo " " & objSubnet Get("cn") Următorul Un comentariu Pentru a avea site-ul căruia îi aparține lângă fiecare nume de subrețea, includeți atributul siteObject în lista returnată de interogare În scriptul de mai sus, pentru a face acest lucru, schimbați penultima linie după cum urmează: Wscript Echo " " & objSubnet Get("cn") & " : " & objSubnet Get ("siteObject") Vezi si Document MS KB (CUM SE: Configurați subrețele în Windows Server Active Directory) Căutați subrețele care nu sunt asociate cu site-ul Problemă Doriți să găsiți subrețele care nu sunt prezente în topologia site-ului Dacă subrețeaua nu este conectată la site, poate determina clienții să se autentifice împotriva controlerelor de domeniu greșite și, ca urmare, să reducă performanța sistemului Soluţie Este foarte important ca Active Directory să aibă obiecte de subrețea pentru toate subrețelele, deoarece un client care încearcă să se autentifice dintr-o subrețea care nu este asociată cu niciun site poate fi autentificat de orice controler de domeniu Ca urmare, dacă selecția controlorului eșuează, procesul de înregistrare a clientului în sistem poate dura mult timp Din păcate, Microsoft nu a dezvoltat o modalitate ușoară de a rezolva această problemă În Windows , singura sursă de informații despre obiectele de subrețea "lipsă" este evenimentul de sistem Iată un fragment din jurnal cu o intrare despre acest eveniment: Tip eveniment: Sursa eveniment: Informații NETLOGON Categoria evenimentului: Niciuna ID eveniment: Data: Căutați subrețele care nu sunt asociate cu site-ul timp Utilizator: Computer: : : N / A DC Descriere: "JSMITH-W K" a încercat să-și determine site-ul căutând adresa IP (" ") în containerul Conf guration\Sites\Subnets din DS Nicio subrețea nu se potrivește cu adresa IP Luați în considerare adăugarea unui obiect de subrețea pentru această adresă IP Pentru a detecta automat subrețele care nu sunt asociate cu un site, trebuie să interogați toate controlerele de domeniu pentru evenimentul și, folosind adresele IP specificate în înregistrările evenimentului, să adăugați noi subrețele la topologia site-ului O problemă similară există în Windows Server Unul dintre efectele secundare ale înregistrării evenimentului în Windows a fost că ar putea umple rapid jurnalul dacă ar fi prea multe subrețele care nu sunt prezente în topologia site-ului Prin urmare, în Windows Server , Microsoft a introdus evenimentul rezultat , ceea ce înseamnă că clienții au făcut o serie de încercări de conectare, dar nu existau subrețele în topologia site-ului Iată un fragment din jurnal cu o înregistrare a acestui eveniment Tur eveniment; Avertisment Sursa evenimentului: NETLOGON Categoria evenimentului: Niciuna ID eveniment: Data: / / Ora: : : Utilizator: N/A Computer: DCI Descriere: În ultimele ore au existat de conexiuni la acest controler de domeniu de la mașini client ale căror adrese IP nu se mapează la niciunul dintre site-urile existente în întreprindere Acei clienți, prin urmare, au site-uri nedefinite și se pot conecta la orice controler de domeniu, inclusiv cele care sunt la n locații îndepărtate de clienți Site-ul unui client este determinat de maparea subrețelei sale la unul dintre site-urile existente Pentru a muta clienții de mai sus pe unul dintre site-uri vă rugăm să luați în considerare crearea obiectelor de subrețea care să acopere adresele IP de mai sus cu mapare către unul dintre site-urile existente Numele și adresele IP ale clienților în cauză au fost înregistrate pe acest computer în următorul fișier jurnal "^SystemRootZ\debug\netlogon log" și potenţial în fișierul jurnal " SystemRootX\debug\ netlogon bak" creat dacă fostul jurnal devine plin Jurnalele suplimentare pot conține informații de depanare fără legătură Pentru a filtra informațiile necesare, căutați rânduri care conțin textul NO CLIENT SITE:' Primul cuvânt după această indicație este numele clientului, iar al doilea cuvânt este adresa IP a clientului Dimensiunea maximă a jurnalelor este controlată de următoarea valoare DWORD de registry "HKEY LOCAL MACHINE\SYSTEM\ CurrentControlSet\Serv ces\Netlogon\Parameters\LogFileMaxSize ': valoarea implicită este de octeți Dimensiunea maximă actuală este de de octeți Pentru a seta o dimensiune maximă diferită, creați valoarea de registry de mai sus și setați dimensiunea maximă dorită în octeți Pentru informații rezumative consultați Centrul de ajutor și asistență la http://go microsoft com/fwlink/events asp În loc să cereți tuturor controlorilor de domeniu informații din jurnalele de evenimente, puteți să vă uitați la fiecare dintre ele în fișierul %SystemRoot%\de-bug\netlogon log și să căutați intrările NO CLIENT SITE Desigur, aceasta nu este cea mai ușoară soluție, dar cel puțin atunci când o utilizați, jurnalele de evenimente nu vor fi umplute cu intrări despre evenimentul Capitolul Topologia rețelei Următorul este un fragment din fișierul netlogon log cu intrări NO CLIENT SITE: / : - RALLENCORP / - - RALLENCORP / : : RALLENCORP / : RALLENCORP / : : RALLENCORP RALLENCORP / : : RALLENCORP / : : RALLENCORP NU CLIENT SITE NO CLIENT SITE NU CLIENT SITE N CLIENT SITE NOlCLIENT SITE NU CLIENT SITE N CLIENT SITE NU CLIENT SITE RALLEN-TEST SJC BACKUP RALLEN-TEST RALLEN-TEST RALLEN-TEST JSMITH-W K RALLEN-TEST RALLEN-TEST Dacă doriți să automatizați această soluție, scrieți un script care se conectează la fiecare controler de domeniu și deschide fișierul netlogon log și citește intrările NO CLIENT SITE din acesta Apoi analizează adresele IP și creează subrețele în Active Directory pentru a le stoca Toate aceste subrețele pot fi asociate cu site-ul implicit sau chiar cu site-ul Default-First-Site-Name Apoi, să zicem, o dată pe săptămână, puteți vizualiza lista de site-uri sau subrețele create care sunt asociate cu site-ul utilizat în mod implicit și puteți face ajustările necesare Creați un link de site Problemă Doriți să creați un link în Active Directory pentru a conecta mai multe site-uri Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Sen/ices Deschideți unul câte unul containerele Sites și Inter-Site Transporta Faceți clic dreapta pe protocolul de transport intersite pe care doriți să îl utilizați pentru legarea site-ului (IP sau SMTP) și selectați New Site Link din meniul contextual care se deschide În câmpul Nume, introduceți un nume pentru relația de creat Verificați site-urile pe care le va conecta noul link și faceți clic pe butonul Adăugați Faceţi clic pe butonul OK Folosind interfața liniei de comandă Puteți utiliza utilitarul Idifde pentru a crea un link de site De exemplu, pentru a conecta site-urile SJC și Dallas, creați un fișier LDIF numit create site link ldf cu următorul conținut: dn■ cn-Dal as-SJC cn-IP cn-i nter-s te transporta cn-s tes cn-conf guration Crearea unui link de site zіz tipul de schimbare adaugă obiectclass: siteLink siteObject: cn-SJC cn=s tes cn-configuration și teObject: cn=Dal as cn=sites cn-conf guration Apoi rulați următoarea comandă: > Idifde -v -i -f create site link ldf Folosind un script VBScript ' Acest cod creează un link către site -CONFIGURARE SCRIPT- intCost = Cost link site intReplInterval - * Perioada de replicare în minute strSitel - " " * De exemplu: SJC "trSite - " " ' Napriner: Dai las strLinkName - strSitel & " - " & strSite ' TERMINAREA CONFIGURĂRII ' Această constantă este preluată din enumerarea ADS PROPERTY OPERATION ENUM const ADS PROPERTY UPDATE - set objRootDSE - GetObject("LDAP://RootDSE'') set objLinkCont = GetObjectC "LDAP://cn=IP,cn-Inter-site Transports cn-sites" & objRootDSE Get("configurationNamingContext") ) set objLink - objLinkCont CreateCsIteLink" "cn-" & strLinkName) strSitelDN - "cn-" & strSitel & " cn-site-uri" & objRootDSE Get("conf gurat ionNanri ngContext") strSiteZDN - "cn-" și strSite și " cn-site-uri " & objRootDSE Get("configurați onNami ngContext") objLink PutEx ADS PROPERTY UPDATE siteList Array(strS telDN strSite DN) objLink Put "cost", intCost objLink Pune "replInterval", intReplInterval objLink SetInfo WScrlpt Echo "Llnk creat cu succes: " și strLinkName Un comentariu Fără link-uri de site, controlorii de domeniu nu pot determina în mod optim partenerii de replicare pentru ei înșiși Fiecare legătură este caracterizată de un astfel de parametru precum costul legăturii sau costul replicării, a cărui valoare este invers proporțională cu lățimea de bandă Vezi si Document MS KB (CUM SE: Crearea și configurarea unui link de site în Active Directory în Windows ) Capitolul Topologia rețelei Căutați link-uri către un site specificat Problemă Doriți să vizualizați o listă de link-uri pentru un anumit site Soluţie Utilizarea interfeței grafice cu utilizatorul Lansați utilitarul LDP și selectați Conexiune ► Conectare din meniul acestuia În câmpul Server, introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat pentru a stabili comunicarea fără server) În câmpul Port, introduceți Faceţi clic pe butonul OK Alegeți Conexiune ► Legare Introduceți numele de utilizator și parola domeniului, apoi faceți clic pe butonul OK Alegeți Răsfoire ► Căutare În câmpul BaseDN, introduceți numele distinctiv al containerului Inter-Site Transports, de exemplu: cn=IP-ter-site Transports cn=sites cn=configuration dc=ra encorp,dc-com În zona Scop, setați butonul radio la Subtree În câmpul Filtru, introduceți următorul filtru: (&(objectcategory-si teLink)(si teLi$ѣ-cn= J cn-si tes cn-conf gurati on )) I Faceți clic pe butonul Run Folosind interfața liniei de comandă > dsquery * "cn-inter-slte transports cn-sites cn-configuration, "l -filter "(&(objectcategory-siteLink)(siteLi$i=cn- j cn-sites cn-configuration ))" -scope subtree -attr name Folosind un script VBScript Acest cod listează link-urile unui anumit site ' CONFIGURARE SCRIPT - strSiteName - " I' Napriner: Raleigh • END configurație set objRootDSE - GetObjectC"LDAP://RootDSE") strSiteDN = "cn-" & strSiteName & " cn-site-uri " & objRootDSE Get("Configurați onNami ngContext") strBase - " atunci objRS MoveFirst în timp ce Nu objRS EOF Wscript Echo vbTab & objRS Fields(O) Value objRS MoveNext merge încet sfârşitul dacă Un comentariu Un site are de obicei unul sau mai multe link-uri asociate cu el Dacă un site nu are deloc legături, controlorii de domeniu nu pot determina unde ocupă în topologia generală Site-urile birourilor regionale au adesea un singur link care reprezintă o conexiune la un site hub, în timp ce site-ul hub poate avea multe link-uri asociate cu toate birourile Pentru a găsi toate linkurile pentru un anumit site, trebuie să executați o solicitare get pentru toate obiectele si teLi nk care au un nume distinctiv de site în atributul site teLi st Acest atribut, care are mai multe valori, conține numele tuturor site-urilor conectate printr-o anumită relație Schimbați setul de site-uri conectate printr-un link specificat Problemă Doriți să schimbați setul de site-uri conectate printr-un anumit link Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Site-uri și servicii Active Directory În panoul din stânga, deschideți alternativ containerele Sites și Inter-Site Transports Deschideți containerul IP sau SMTP, în funcție de locul în care este stocat linkul de site dorit În panoul din dreapta, faceți dublu clic pe numele linkului pe care doriți să îl schimbați Capitolul Topologia rețelei Folosind fila General, adăugați sau eliminați site-uri conectate prin acest link Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit modify site link ldf cu următorul conținut Înlocuiți cu numele linkului și cu numele site-ului pe care doriți să vă conectați la alții prin linkul dat dn: sp- ,sp-IP transporturi cn-i nter-site, cn-sites cn-conf gurare changetype: modifice add: siteList s teList: cn= cn-sites cn=configuration Apoi rulați această comandă: > Idifde -v - -f mod fy site Hnk ldf Folosind un script VBScript ' Acest cod adaugă site-ul la lista de site-uri conectate prin linkul dat ' - CONFIGURARE SCRIPT - strSite ■ " " ' De exemplu: Burllngton strLink = * " ' De exemplu: DEFAULTIPSITELINK ' - TERMINAREA CONFIGURĂRII ' Această constantă este preluată din enumerarea ADS PROPERTY OPERATION ENUM const ADS PROPERTY APPEND - set objRootDSE = GetObjectCLDAP://RootDSE") set objLink - GetObjectCLDAP://cn-" & strLink & ",cn-IP cn=Site-uri Transports cn între site-uri " & objRootDSE Get("configurationNamingContext") ) strSiteDN - 'cn-" & strSite & " cn-site-uri " & objRootDSE GetCconfigurationNamingContext") objLink PutEx ADS PROPERTf APPEND siteList Array(strSiteDN) objLink SetInfo WScrlpt Echo "Link modificat cu succes: " & strLink Un comentariu Pentru a asocia un site cu un anumit link de site, adăugați numele său distinctiv la atributul siteList al obiectului siteLink care reprezintă linkul site-ului Dacă doriți să eliminați un site din lista de site-uri conectate printr-un anumit link, se efectuează acțiunea inversă: numele său distinctiv este eliminat din atributul siteList Vezi si Rețeta vă spune cum să găsiți toate linkurile pentru un anumit site Modificarea costului de conectare a site-urilor Modificarea costului de conectare a site-urilor Problemă Doriți să modificați costul link-ului site-ului Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, deschideți alternativ containerele Sites și Inter-Site Transports Faceți clic pe containerul IP sau SMTP, în funcție de locul unde se află conexiunea care vă interesează În panoul din dreapta, faceți dublu clic pe numele linkului Faceți clic pe fila General și modificați costul linkului Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF denumit modlfy site link cost ldf cu următorul conținut Înlocuiți cu valoarea dorită: dn: cn-DEFAULTIPSITELINK, cn-IP, cn-inter-s te transports cn-s i tes cn-conf gurati on changetype: modify înlocuire: cost cost: După aceea rulați următoarea comandă: > Idifde -v -i -f modify site link cost ldf Folosind un script VBScript ' Acest cod modifică costul link-ului site-ului ' CONFIGURARE SCRIPT strLink - " " ' De exemplu: DEFAULTIPSITELINK intCost - * De exemplu: ' TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectCLDAP://RootDSE") set objLink - GetObject('LDAP://cn-" & strLink & ",cn-IP cn=Transporturi între site-uri, site-uri cn " & objRootDSE Get("configuraționNamingContext") ) objLink Put "cost" intCost objLink SetInfo WScript Echo "Link modificat cu succes: " & strLink Capitolul Topologia rețelei Un comentariu Atributul cost este unul dintre cele mai importante atribute ale obiectului siteLink În Knowledge Consistency Checker (KCC), acesta este utilizat pentru a determina obiectele de conexiune care trebuie create pentru ca controlorii de domeniu să reproducă datele Valoarea atributului cost ar trebui să fie invers proporțională cu lățimea de bandă a conexiunii: cu cât este mai mică, cu atât lățimea de bandă este mai largă Valoarea implicită este Atributul cost poate fi setat la orice valoare între și sau între și Numărul real nu contează, atâta timp cât raportul de cost al tuturor link-urilor site-ului este corect Dezactivarea programelor și a tranzitivității legăturii Problemă Doriți să dezactivați programările utilizate pentru a controla replicarea sau tranzitivitatea legăturii site-ului Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, deschideți alternativ containerele Sites și Inter-Site Transports Faceți clic dreapta pe containerul IP sau SMTP, în funcție de linkurile pentru care doriți să setați noi setări Selectați comanda Proprietăți din meniul contextual care se deschide Pentru a dezactiva tranzitivitatea legăturilor, debifați caseta de validare Bridge all site links Pentru a ignora toate programările care controlează capacitatea de a lucra cu legăturile de site, adică toate legăturile de site sunt disponibile pentru replicare, bifați caseta de selectare Ignorare programări Faceţi clic pe butonul OK Folosind interfața liniei de comandă Valoarea atributului opțiuni al unui obiect link site poate fi modificată folosind utilitarul Idifde pentru a crea un fișier LDIF adecvat Cu toate acestea, deoarece acest atribut conține un set de indicatori de biți, cel mai bine este să îi schimbați valoarea utilizând o interfață grafică de utilizator sau un script VBScript care citește valoarea curentă a atributului opțiuni și o modifică prin schimbarea unui singur steag utilitatea nu permite implementarea unei logici atât de complexe Dezactivarea programelor și a tranzitivității legăturii Folosind un script VBScript ' Acest cod dezactivează tranzitivitatea link-urilor și programelor site-ului ' folosit pentru a controla replicarea pentru toate legăturile de transport IP ' Codul funcției CalcBit este în Rețeta (Capitolul ) ' - CONFIGURARE SCRIPT - boolDisableTrans - ' Redirecționează: TRUE boolIgnoreSchedules - ' Napriner: FALSE * - TERMINAREA CONFIGURĂRII set objRootDSE - GetObjectCLDAP://RootDSE') set objLink - GetObject( "LDAP://cn-IP,cn-Inter-site Transports,cn=sites" & objRootDSE Get("configuraționNamingContext")) intBitsOrg - objLink Get('opțiuni') IntBits - CalcBit(intBitsOrig boolDisableTrans) intBits - CalcBit(intBitsOrig , boolIgnoreSchedules) if objLink Get("opțiuni") o intBits atunci objLink Put "opțiuni", intBits objLink SetInfo WScrlpt Echo "Tranzitivitatea legăturii a fost modificată cu succes pentru " și strLink altfel WScript Echo "Nu a fost nevoie să modifice tranzitivitatea legăturii pentru " & strLink sfârşitul dacă Un comentariu Link-urile site-urilor Active Directory sunt tranzitive Aceasta înseamnă că dacă site-ul A este legat de site-ul B și site-ul B este legat de site-ul C, atunci site-ul A este legat de site-ul C (prin site-ul B) Knowledge Consistency Checker folosește această proprietate (activată implicit) pentru a lua decizii cu privire la crearea obiectelor de conexiune Puteți dezactiva proprietatea de tranzitivitate dacă doriți, deși nu este recomandat să faceți acest lucru fără un motiv întemeiat Dezactivarea proprietății de tranzitivitate poate fi adecvată numai pe unele sisteme bazate pe Windows , când există prea multe site-uri și, prin urmare, CSS-ul cheltuiește mult timp analizându-le În Windows Server , această caracteristică a fost îmbunătățită semnificativ, făcând relațiile tranzitive fără probleme Un alt motiv pentru care ați putea dori să dezactivați tranzitivitatea legăturii este acela de a face replicarea mai deterministă Când tranzitivitatea este dezactivată, este mult mai ușor să determinați unde KCC va crea obiecte de conexiune, deoarece instrumentul nu poate replica cu controlere de domeniu ale căror site-uri nu au legături directe către site-urile de pe care sunt replicate Modul de dezactivare a programării disponibilității link-urilor site-ului este acoperit în aceeași rețetă, deoarece atributul opțiuni, care determină dacă link-urile site-ului sunt tranzitive, controlează și programarea disponibilității link-urilor site-ului Dacă protocolul de transport (IP sau SMTP) este setat la Ignorare programări, KCC ignoră toate programările de disponibilitate a legăturilor configurate Capitolul Topologia rețelei site-uri Dacă dezactivați această setare mai târziu, aceste programări de disponibilitate a legăturilor vor intra în vigoare din nou Vezi si Rețeta (Capitolul ) descrie cum să setați steaguri care fac parte din valorile proprietăților, care sunt un set de steaguri de biți Creați o punte de legătură cu site-ul Problemă Trebuie să creați o punte de legătură cu site-ul, deoarece tranzitivitatea linkului este dezactivată Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, deschideți alternativ containerele Sites și Inter-Site Transports Faceți clic dreapta pe containerul IP sau SMTP, în funcție de legăturile care sunt conectate Selectați comanda New Site Lînk Bridge din meniul contextual care se deschide Evidențiați linkurile de site pe care doriți să le conectați, apoi faceți clic pe butonul Adăugați Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF denumit create site link bridge ldf cu următorul conținut (înlocuiți și cu numele link-urilor site-ului pe care le creați legătura): dn: cn- sp-Іr sp-i nter-s i te transports cn=sites,cn-configuration changetype: add objectclass: siteLinkBridge siteLinkList: cn- cn=IP cn-Transporturi între site-uri,cn-sites cn=configurare siteLi nkLi st: cn~ cn=IP cn-Inter-site Transports,cn-si tes cn=configurati on, Apoi rulați această comandă: * Idifde -v -i -f create site link bridge ldf Căutați servere cap de pod Folosind un script VBScript ' Acest cod creează un noot între două link-uri de site • CONFIGURARE SCRIPT - strLInkl - " " ' De exemplu: AMS-LON strLink - " " ' De exemplu: SJC-RTP strBridge - " " ' De exemplu: AMER-EUR ' END CONFIGURATION - - set objRootDSE - GetObject("LDAP://RootDSE") set objLinkCont - GetObject! "LDAP://cn=IP cn*=Inter-site Transports cn-site-uri " & objRootDSE Get("conf gurationNamingContext") ) set objBridge - objLinkCont Create("siteLinkBridge" "cn-" & strBridge) strLinklDN - "cn-" & strLinkl & " cn-IP cn-Inter-site Transports cn-site-uri " & objRootDSE Get("configuraționNamingContext") strLink DN - "cn-" & strLink & " cn-IP cn-Inter-site Transports cn-site-uri " & objRootDSE Get("configurare onNami ngContext") objBridge Put "siteLinkList", Array(strLinklDN,strLink DN) objBridge SetInfo WScript Echo "Punt creat cu succes: " și strBridge Un comentariu Dacă ați dezactivat proprietatea de tranzitivitate a legăturilor de site sau dacă rețeaua nu conține conexiuni directe între site-uri, trebuie să creați punți între ele Procesul de creare a unei punți de legătură cu site-uri care conectează mai multe legături este similar cu procesul de creare a unui link care conectează mai multe site-uri Să ne uităm la un exemplu de topologie de rețea în care proprietatea de tranzitivitate este dezactivată și există patru site-uri: site-ul A este conectat la site-ul B și site-ul C este conectat la site-ul D Dacă doriți controlerele de domeniu care fac parte din site-urile A și B pentru a face schimb de replici cu controlere de domeniu , care fac parte din site-urile C și D, trebuie să creați o punte care să conecteze legătura A-B cu legătura C-D Vezi si Rețeta vă spune cum să dezactivați proprietatea de tranzitivitate a link-urilor site-ului Căutați servere cap de pod Problemă Doriți să determinați ce servere cap de pod fac parte dintr-un anumit site Capitolul Topologia rețelei Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul Replication Monitor din pachetul Support Tools (replmon exe) Executați comanda Vizualizare ► Opțiuni (Vizualizare ► Parametri) În panoul din stânga, faceți clic dreapta pe intrarea Servere monitorizate și selectați Adăugare server monitorizat din meniul contextual care se deschide Folosind expertul care se va lansa ca urmare a parcurgerii acestor pași, specificați serverul care face parte din site-ul unde vă așteptați să găsiți servere cap de pod În panoul din stânga, faceți clic dreapta pe numele serverului dorit și selectați Show BridgeHead Servers ► In This Server's Site din meniul contextual Folosind interfața liniei de comandă > repadmin /capete de pod [ ] [/verbose] Comutatorul /bridgeheads este utilizat numai în versiunea repadmin pentru Windows Server Nu există un astfel de comutator în Windows Folosind un script VBScript ' Acest cod găsește toate serverele cap de pod ale site-ului specificat - CONFIGURARE SCRIPT strServer - " " ' Serverul către care va fi trimisă cererea, de exemplu: dcOl strSite - " " ' Numele site-ului care este interogat, de exemplu: Default-First-Site-Nasie - TERMINAREA CONFIGURĂRII set objladsTools - CreateObjectC'IADsTools DCFunctions") intRes - objladsTools GetBridgeHeadsInSiteCCstr(strServer),Cstr(strSite) ) dacă intRes - - atunci Wscript Echo "Eroare capete de punte: " & objladsTools LastErrorText WScript Ieșire sfârşitul f for count - to intRes WScrlpt Echo vbTab și objladsTools BridgeHeadName(număr) următorul Un comentariu Un server cap de pod este un controler de domeniu responsabil cu replicarea datelor între site-uri Pentru a împiedica controlorii de domeniu să împingă replici ale acelorași partiții de director în afara site-ului, serverele dedicate cap de pod sunt responsabile pentru această responsabilitate Orice controler de domeniu poate servi drept cap de pod Verificatorul de coerență a cunoștințelor atribuie un punct de sprijin fiecărei secțiuni inscriptibile a site-ului și puteți influența selecția acesteia prin definirea punctelor de sprijin preferate Consultați Rețeta pentru mai multe despre aceasta Alegerea unui server cap de pod preferat pentru un site Vezi si Document MS KB (Descrierea serverelor Bridgehead în Windows ) Alegerea unui server cap de pod preferat pentru un site Problemă Trebuie să specificați un server cap de pod preferat pentru site Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, deschideți containerul Site-uri, site-ul pentru care doriți să definiți un server cap de pod și containerul Servere Faceți clic dreapta pe numele serverului pe care ați decis să-l desemnați ca cap de pod și selectați Pro-perties (Properties) din meniul contextual care se deschide În fila General, selectați unul sau mai multe protocoale de transport intersite pentru care acest computer va fi serverul cap de pod principal și faceți clic pe butonul Adăugare Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit set bridgehead server ldf cu următorul conținut: dn: cn- cn-servers,cn cn-sites cn-conf guration, changetype: modify adăugați: bridgeheadTransportList bri dgeheadTransportList: cn-IP,cn=Inter-s te transporturi cn=sites cn-configuration Apoi rulați această comandă: > Idifde -v -i -f set bridgehead server ldf Folosind un script VBScript ' Acest cod setează serverul cap de pod preferat pentru protocolul de transport specificat ' - CONFIGURARE SCRIPT strServer - Către a ' De exemplu: dcl strServerSite - " " ' De exemplu: Default-First-Site-Name strTransport - p server dsquery [-site ] Folosind un script VBScript ' Acest cod listează toate obiectele server din site-ul dat set objRootDSE - GetObjectCLDAP://RootDSE") strBase - " dsmove "cn- cn-ser^erz,cn- J cn-sites cn-configuration, " -newparent "cn^servers,cn= J cn- si tes cn-config gurati on, '' Folosind un script VBScript ' Codul mută serverul pe alt site • - CONFIGURARE SCRIPT - Această variabilă ar trebui să conțină numele normal al obiectului strDC al serverului - " " ' De exemplu: dc ' Numele site-ului curent al serverului strCurrentSIte este " me" De exemplu Default-First-Site-Name Numele site-ului în care doriți să mutați serverul strNewSite este " " ' De exemplu: Raleigh ' -Sfârșitul configurației - strConfigDN = GetObjectCLDAP://RootDSE") GetCconfigurationNamingContext") strServerDN - "LDAP://cn-" strDC ",cn=servers cn=" strCurrentSIte " cn-site-uri " strConfigDN strNewParentDN - "LDAP://cn=servers cn-" strNewSite " cn-site-uri " strConfigDN Set objCont - GetObjectCStrNewParentDN) objCont MoveHere strServerDN "cn=" strDC Un comentariu După mutarea unui server pe un site nou, este logic să analizați topologia de replicare pentru a vedea dacă au fost realizate toate conexiunile necesare Consultați Rețeta (Capitolul ) pentru detalii despre cum puteți vizualiza informațiile de replicare asociate cu un anumit server AIII/ FQU І|LL- I rapspps UU> IUV I Ft DO "*ГІV I OFIZ |\ipі^gvl/іv^i ^VГІЧ py Vezi si Document MS KB (Detecția automată a apartenenței la site pentru controlere de domeniu) Extinderea domeniului de aplicare a unui controler de domeniu la mai multe site-uri Problemă Trebuie să configurați controlerul de domeniu astfel încât să fie întins pe mai multe site-uri și ca clienții de pe acele site-uri să îl poată utiliza pentru a autentifica și căuta date în director Soluţie Utilizarea interfeței grafice cu utilizatorul Prin executarea comenzii Start ► Run (Start ► Run), deschideți o fereastră de linie de comandă și rulați editorul de registry de sistem regedit exe În fereastra editorului de registry de sistem din panoul din stânga, deschideți secțiunile HKEY LOCAL MACHINE ► SYSTEM ► CurrentControlSet > Services ► Netlogon ► Parameters una câte una Dacă parametrul SiteCoverage nu este prezent, faceți clic dreapta pe secțiunea Parameters din panoul din stânga și selectați New ► Multi-String Value din meniul de comenzi rapide În câmpul Nume, introduceți Si teCoverage În panoul din dreapta, faceți dublu clic pe numele noului parametru și în fereastra care se deschide pentru a-i edita valoarea, introduceți numele site-urilor către care ar trebui să fie distribuit domeniul controlerului de domeniu (fiecare pe un nou linia) Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add HKLM\System\CurrentCoritrolSet\Services\Netlogon\Paranieters /v l "SiteCoverage" /t REG MULTI SZ /d \v Folosind un script VBScript ' Acest cod configurează controlerul donen astfel încât sfera sa a cuprins mai multe site-uri ' CONFIGURARE SCRIPT - strDC = " " ' De exemplu dcOl arrSites - ArrSites(" "," '") ' Array of site names ' END CONFIGURAȚIDN strNTDSReg - "SYSTEM\CurrentControlSet\Services\Netlogon\Pararneters" const HKLM - &H D set objReg - GetObjectCwinmgmtsAV & strDC & "\root\default-StdRegProv") objReg SetMultiStringValue HKLM strNTDSReg SiteCoverage arrSites WScript Echo "Set de acoperire a site-ului pentru" și strDC Un comentariu Nu toate site-urile au propriile lor controlere de domeniu În special, acestea sunt absente pentru site-urile a căror topologie se bazează pe un model de rețea real În acest caz, doar privind asocierile puteți determina care controlere de domeniu ar trebui să deservească site-urile care nu au propriile controlere căutare un controler de domeniu Pentru site-urile care nu au controlere de domeniu, Active Directory le selectează automat, dar este posibil să faceți acest lucru făcând modificări în registru, așa cum este descris mai sus, pentru a seta o listă de site-uri care vor fi supuse domeniului controlerului de domeniu specificat Vezi si Document MS KB (Configurați un controler de domeniu pentru apartenența la mai multe site-uri) Vizualizați o listă de site-uri care sunt acoperite de un controler de domeniu Problemă Doriți să vedeți o listă de site-uri care sunt acoperite de un controler de domeniu Soluţie Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele controlerului de domeniu al cărui domeniu vă interesează: > nltest /server: /DsGetSiteCov Folosind un script VBScript Microsoft vă oferă metoda DsGetDcSiteCoverage pe care o puteți utiliza pentru a obține informații despre domeniul de aplicare al unui controler de domeniu Din păcate, această metodă nu este acceptată de limbajele de scripting și în special a limitand the silt ii deiiiiya kin puj lera depa VBScript, dar poate fi folosit în limbaje de programare precum Visual Basic și C++ Comanda ni test utilizată în soluția de linie de comandă este un înveliș în jurul acestei metode Un comentariu Rețeta arată cum să extindeți domeniul de aplicare al unui controler de domeniu la mai multe site-uri, iar rețeta arată cum să îl extindeți la un singur site din care controlerul este membru Vezi si Document MSDN: DsGetDcSiteCoverage Limitarea domeniului controlerului de domeniu Problemă Doriți să limitați domeniul de aplicare al unui controler de domeniu la singurul site căruia îi aparține Soluţie Utilizarea interfeței grafice cu utilizatorul Folosind comanda Start ► Run (Start ► Run), deschideți o fereastră de linie de comandă și rulați editorul de registry regedit exe În fereastra editorului de registry de sistem din panoul din stânga, deschideți cheile de registry HKEY LOCAL MACHINE ► SYSTEM ► CurrentControl Set ► Services ► Netlogon ► Parametri unul câte unul Faceți clic dreapta pe secțiunea Parametri și selectați Nou ► Valoare DWORD din meniul de comenzi rapide Denumiți noul parametru AutoSiteCoverage Faceți dublu clic pe numele parametrului, introduceți în câmpul Value data și faceți clic pe OK Folosind interfața liniei de comandă > reg add HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v J AutoSiteCoverage /t REG DWORD /d Folosind un script VBScript ' Acest cod limitează controlerul de domeniu către propriul site strNetlogonReg - "SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" corist HKLM - &H ( Set objReg - GetObjectCwirimgmts-rootXdefault StdRegProv") objReg SetDWORDValue HKLM strNetlogonReg "AutoSiteCoverage" WScript Echo "Acoperirea site-ului dezactivată" ley i lava ii reţea de upologie Un comentariu Dacă doriți să reduceți sarcina unui controler de domeniu, puteți face acest lucru, de exemplu, restrângând domeniul de aplicare al acestuia Vezi si Rețeta - vă arată cum să enumerați site-urile care sunt acoperite de un controler de domeniu Căutare pe site-ul clientului Problemă Vrei să știi cărui site îi aparține computerul client Soluţie Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele gazdei pentru care doriți să găsiți site-ul: > nltest /server /DsGetSite Folosind un script VBScript Informațiile privind domeniul controlerului de domeniu pot fi obținute folosind metoda DsGetDcSIteCoverage Din păcate, această metodă nu este acceptată în VBScript, dar poate fi utilizată în Visual Basic, C++ și o serie de alte limbaje de programare Comanda nltest utilizată în soluția de linie de comandă este un înveliș în jurul acestei metode Un alt pachet pentru această metodă include interfața lADsTool: set objladsTools - CreateObject("IADsTools DCFunctions'') strSite - objIadsToo s DsGetSiteName(" ") Wscript Echo "Site: " și strSite Un comentariu Fiecare controler de domeniu este reprezentat de un obiect server care face parte dintr-un obiect de site Clienții sunt conectați la site-uri în mod diferit - prin adrese IP și obiectele de subrețea corespunzătoare din containerul Subrețele (Subrețele) Este important să știți cărui site îi aparține un client, deoarece vă permite să alegeți controlerul de domeniu potrivit pentru a vă autentifica Dacă adresa IP a clientului nu este specificată în niciun obiect de subrețea, site-ul pentru acel client va fi selectat aleatoriu și, prin urmare, controlerul de domeniu de autentificare va fi, de asemenea, selectat aleatoriu Pentru informații despre cum să legați un site la un client, consultați Rețeta Asocierea unui client cu un anumit site L L Vezi si Rețeta ȘI vă spune cum să extindeți un controler de domeniu la singurul site căruia îi aparține De asemenea, consultați MS KB (Cum învechitează controlerele de domeniu în Windows) și documentele MSDN: DsGetSiteName Asocierea unui client cu un anumit site Problemă Trebuie să asociați un client în Active Directory cu un anumit site Soluţie Utilizarea interfeței grafice cu utilizatorul Folosind comanda Start ► Executare (Start ► Executare), deschideți o fereastră de linie de comandă și rulați editorul de registry de sistem regedit exe din aceasta, În fereastra editorului de registry de sistem din panoul din stânga, deschideți cheile de registry HKEY LOCAL MACHINE ► SYSTEM ► CurrentControlSet ► Servlces ► Netlogon ► Parameters una câte una Faceți clic dreapta pe secțiunea Parametri și selectați New ► Strlng Value din meniul contextual Denumiți noul parametru SiteName Faceți dublu clic pe numele acestui parametru, introduceți numele site-ului în câmpul Date value și faceți clic pe OK Folosind interfața liniei de comandă > reg add HKLM\S ystem\CurrentControlSet\Services\Netlogon\Parameters /v SiteName /t J REGSZ /d Folosind un script VBScript Codul asociază gazda pe care se execută scriptul cu site-ul dat ' CONFIGURARE SCRIPT - strSite - " repadnnn /add Un comentariu În general, nu trebuie să creați manual obiecte de conexiune - aceasta este treaba verificatorului de consistență a cunoștințelor Menținerea datelor la zi, în special într-o rețea mare, este o sarcină foarte dificilă KSS bazat pe complex Listează obiectele de conexiune pentru serverul specificat algoritmul determină care controlere de domeniu sunt cei mai buni parteneri de replicare și creează obiecte de conexiune între ei În Windows , performanța acestui instrument într-o rețea mare nu a fost pe deplin satisfăcătoare, dar în Windows Server , o serie de deficiențe sunt remediate Cu toate acestea, problemele apar în continuare, caz în care replicarea între mai multe site-uri trebuie repetată Creați o conexiune, reprezentată de obiectul connecti op, iar serverele se vor sincroniza rapid Vezi si Rețeta este despre listarea obiectelor de conexiune pentru un anumit controler de domeniu Listează obiectele de conexiune pentru serverul specificat Problemă Doriți să afișați o listă de obiecte de conexiune asociate cu un anumit controler de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, deschideți unul câte unul containerul Site-uri, site-ul în care se află obiectele de conexiune, containerul Servere și, în final, serverul ale cărui conexiuni doriți să le vizualizați Faceţi clic pe obiectul Setări NTDS Panoul din dreapta va afișa o listă de conexiuni generate automat (folosind instrumentul CSS) și manual Folosind interfața liniei de comandă > repadmin /showconn [ ] Folosind un script VBScript Acest cod scoate o listă de obiecte de conexiune asociat cu acest server ' CONFIGURARE SCRIPT strServer - " " ' De exemplu: dcOl strSite - " " ' De exemplu: MySItel - TERMINAREA CONFIGURĂRII set objRootDSE ■* GetObject("LDAP://RootDSE") Capitolul Topologia rețelei set objNTDSCont - GetObject ("LDAP://sp-NTDS Settings cn-" & strServer & " cn-servers cn-" și strSite și " cn-site-uri " & bjRootDSE Get("configuraționNamingContext") ) objNTDSCont Filter - Array("ntdsConnection") WScript Echo "Obiecte de conexiune pentru " & strSite & *'\" & strServer pentru fiecare objConn din objNTDSCont dacă objConn Get("opțiuni") - atunci Wscript Echo " " & objConn Get("cn") & " (MANUAL)" altfel Wscript Echo " " & objConn Get("cn") & "(AUTO)' se termină dacă Următorul NOTĂ - O listă de obiecte de conexiune pentru un anumit server poate fi, de asemenea, obținută prin programare folosind metoda GetDSAConnecbons din interfața IADsTooI Un comentariu obiectele de conectare sunt folosite pentru a replica modificările la controlerul de domeniu Vizualizarea unei liste cu aceste obiecte asociate cu un anumit server vă va spune de la ce controlere de domeniu primește actualizări Obiectele de conexiune sunt create automat de Knowledge Consistency Checker (KCC), dar le puteți crea și manual dacă este necesar Vezi si Rețeta vorbește despre crearea unui obiect de conexiune Echilibrarea sarcinii între serverele cap de pod Problemă Este necesar să se distribuie uniform obiectele de conexiune între serverele cap de pod ale site-ului Soluţie Folosind interfața liniei de comandă Pentru a vedea ce modificări va face următoarea comandă, rulați-o fără comutatorul /consptti t (acest comutator este folosit pentru a scrie modificări în Active Directory) > adlb /server: -$іІе: [Zconrnit] [/verbose] NOTĂ - Utilitarul adlb este inclus cu kitul de resurse Windows Server Căutați un generator de topologie intersite pentru un site specificat Un comentariu Este posibil ca dacă există mai multe servere cap de pod, unele dintre ele să fie încărcate mai mult decât altele Utilitarul ADLB (Active Directory Load Balancing) vă permite să distribuiți uniform obiectele de conexiune între serverele cap de pod ale unui site Algoritmii dezvoltați pentru Windows Server sunt mult mai potriviti în acest scop decât algoritmii din Windows , dar în ambele cazuri utilitarul va "funcționa" doar dacă se adaugă noi obiecte de conexiune Înainte de a rula utilitarul adlb cu comutatorul /corrmit, este o idee bună să-l rulați mai întâi fără comutatorul /corrmit și să vedeți dacă întrerupe topologia de replicare a site-ului Căutați un generator de topologie intersite pentru un site specificat Problemă Găsiți un generator de topologie inter-site (ISTG) pentru un anumit site Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Faceți clic pe numele site-ului care vă interesează În panoul din dreapta, faceți dublu clic pe obiectul NTDS Site Settings Generatorul de topologie intersite, dacă există, va fi listat în câmpul numit corespunzător Folosind interfața liniei de comandă > repadmin /istg Această comandă este disponibilă numai în Windows Server Folosind un script VBScript Codul găsește ISTG pentru un anumit site ' CONFIGURARE SCRIPT - strSiteName - ' De exemplu: Raleigh ' - TERMINAREA CONFIGURĂRII set objRootDSE - GetObject("LDAP://RootDSE") setați objSiteSettings - GetObjectCLDAP://cn-NTDS Site Settings cn-" & strSiteName & " cn=sites " & obj RootDSE Get("Conf gurati onNamingContext")) la eroare reluați următoarea strISTGON = objSiteSettings GetCinterSiteTopologyGetCinterSiteTopology Capitolul Topologia rețelei dacă (strISTGDN <> "") atunci set objNTDSSettings - GetObjectCLDAP://' și strISTGDN) set objServer - GetObjectC objNTDSSettings Parent) WScrlpt Echo "ISTG pentru site" & strSiteName & " este " & objServer Get("dnsHostName") altfel WScrlpt Echo "Niciun ISTG găsit pentru site" și strSiteName se termină dacă Un comentariu Fiecare site conține un controler de domeniu care acționează ca un generator de topologie intersite Spre deosebire de toate celelalte controlere de domeniu, care generează propriile conexiuni intersite, generatorul de topologie intersite este responsabil pentru crearea conexiunilor intersite pentru serverele cap de pod ale site-ului Atributul interSiteTopologyGenerator al obiectului NTDS Site Settings asociat cu acest site stochează numele obiectului NTDS Settings al generatorului curent de topologie intersite Dezactivarea generatorului de topologie intersite pentru un anumit site este echivalentă cu dezactivarea Knowledge Consistency Checker Consultați Rețeta pentru cum să dezactivați CCC Vezi si Rețeta este despre transferul rolului de generator de topologie intersite la un alt controler de domeniu În plus, vă recomandăm să citiți documentele MS KB (The Role of the Inter-Site Topology Generator in Active Directory Replication) și MS KB (Determining Inter-Site Topology Generator (ISTG) of a Site in the Active Directory) Transferarea rolului de generator de topologie intersite la un alt controler de domeniu Problemă Doriți să transferați rolul Intersite Topology Generator al site-ului specificat la alt controler de domeniu Când generatorul actual de topologie MSG este dezactivat, transferul este automat, dar se poate face și manual, caz în care acest rol poate fi transferat pe un server mai potrivit Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă secțiunea de configurare nu este prezentă aici, conectați-vă la ea Transferarea rolului de generator de topologie intersite În panoul din stânga, deschideți unul câte unul containerele Configurare ► Site-uri Faceţi clic pe numele site-ului pentru care alegeţi să definiţi un alt generator de topologie intersite În panoul din dreapta, faceți dublu clic pe CN ITDS Site Settings Setați atributul InterSiteTopologyGenerator la numele obiectului Setări NTDS al controlerului de domeniu pe care doriți să-l alocați ca generator de topologie intersite Faceţi clic pe butonul OK Folosind un script VBScript ' Acest cod creează un nou generator de topologie intersite pentru site ' CONFIGURARE SCRIPT ' Numele site-ului pentru care ar trebui instalat noul generator de topologie intersite strSiteName este " " ' De exemplu: Ralelgh ' Numele site-ului care include noul generator de topologie intersite strNewlSTGSite - " '' ' De exemplu: Ralelgh ' Numele obișnuit al obiectului server al noului generator de topologie mexigo strNewISTGName este " '' ' De exemplu; dcOl SFÂRȘIT CONFIGURARE set objRootDSE - GetObjectCLDAP://RootDSE") set objSiteSettings - GetObject("LDAP://cn-NTDS Site Settings cn-" & strSiteName & " cn-sites " & objRootDSE Get("Configurati onNami ngContext")) strCurrentISTG - objSiteSettings Get( " InterSiteTopologyGenerator") objSiteSettings Pune "interSiteTopologyGenerator", "cn-NTDS Settings cn-" & strNewISTGName & " cn-servers cn-" & strNewlSTGSite & ",cn-sites " & objRootDSE Get("Conf gurati onNami ngContext") objSiteSettings Setlnfo WScrlpt Echo "ISTG pentru " & strSiteName & "schimbat din:' WScrlpt Echo " " & strCurrentISTG WScrlpt Echo "Către" WScrlpt Echo " " și objSiteSettings GetCinterSiteTopologyGenerator") Un comentariu Atributul interSiteTopologyGenerator al obiectului NTDS Site Settings asociat cu un site stochează numele distinctiv al obiectului NTDS Settings al generatorului de topologie intersite actual al site-ului Ca generator de topologie intersite, controlerul de domeniu suprascrie periodic valoarea atributului InterSiteTopologyGenerator Dacă doriți să atribuiți un alt controler de domeniu acestui rol, scrieți numele distinctiv al obiectului Setări NTDS al controlerului de domeniu respectiv în acest atribut Există două setări ale registrului de sistem asociate cu înregistrarea generatorului de topologie intersite, stocate în cheia HKEY LOCAL MACHINE\System\Current-ControlSet\Services\NTDS\Parameters Primul reprezintă durata Capitolul Topologia rețelei intervale (măsurate în minute) la care generatorul actual de topologie intersite actualizează valoarea atributului InterSiteTopologyGenerator pentru a indica altor controlori de domeniu că acesta este încă în rolul său atribuit Această setare se numește intervalul de reînnoire a generatorului de site-uri (mlnutes) CSS și are valoarea implicită de A doua setare, CSS de reînnoire a generatorului de site-uri (mlnutes), conține perioada de timp pe care fiecare controler de domeniu trebuie să aștepte ca atributul InterSiteTopologyGenerator să fie actualizat înainte de a fi actualizat încercând să vă înregistrați pentru acest rol În mod implicit, acest timp este de de minute Vezi si Document MS KB (Rolul generatorului de topologie inter-site în replicarea Active Directory) Rulați Verificatorul de coerență a cunoștințelor Problemă Trebuie să rulați Knowledge Consistency Checker în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services În panoul din stânga, selectați obiectul NTDS Settings pentru serverul pentru care alegeți să rulați Knowledge Consistency Checker Faceți clic dreapta pe obiectul NTDS Settings, selectați AII Tasks ► Check Replication Topology din meniul contextual care se deschide Faceţi clic pe butonul OK Folosind interfața liniei de comandă > repadmin /css Folosind un script VBScript Acest cod pornește CSS pe controlerul donen "CONFIGURARE SCRIPT strDC - " " ' De exemplu: dcOl ' TERMINAT CONFIGURARE - set objladsTools = CreateDbject("IADsTools DCFunctions") Monitorizarea funcționării verificatorului de consistență a cunoștințelor intRes - cbjIadsTools TriggerKCC(Cstr(strDC> ) dacă IntRes - - atunci Wscript Echo objIadsTools LastErrorText altfel Wscript Echo "Trlggered KCC cu succes"* sfârşitul dacă Un comentariu În mod implicit, Knowledge Consistency Checker își îndeplinește sarcina la fiecare minute - analizează topologia site-ului și generează conexiuni intersite Pe serverul selectat ca generator de topologie intersite, KCC creează conexiuni de server cap de pod la controlorii de domeniu ale altor site-uri În unele cazuri, cum ar fi la fel ca atunci când se creează un nou site , linkuri de site sau subrețele, acest instrument trebuie rulat manual pentru a crea conexiuni noi între controlerele de domeniu Vezi si Rețeta vă spune cum să știți dacă CCC își face treaba bine Informații despre interfața lADsTools sunt furnizate în fișierul iadstools doc inclus cu pachetul Instrumente de asistență Examinați MS KB (Rolul generatorului de topologie între site-uri în replicarea Active Directory) Monitorizarea funcționării verificatorului de consistență a cunoștințelor Problemă Este necesar să se afle dacă KSS își îndeplinește cu succes funcțiile Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți utilitarul Event Viewer de pe controlerul de domeniu Selectați un jurnal de servicii de director În panoul din dreapta, faceți clic pe antetul Sursă pentru a sorta intrările din jurnal după acea coloană Găsiți evenimente care provin din obiectul NTDS KCC Folosind interfața liniei de comandă Următoarea comandă tipărește o listă de erori din instrumentul KSS din jurnalul de servicii de director: > dcdiag /v /test kccevent /s Capitolul Topologia rețelei Un comentariu Singura modalitate de a detecta probleme cu Knowledge Consistency Checker este să vizualizați lista de evenimente NTDS KCC în jurnalul Directory Service Dacă aveți impresia că ceva nu merge bine, dacă sistemul afișează mesaje de eroare, creșteți numărul de evenimente înregistrate activând înregistrarea diagnosticului KSS În acest caz, pentru fiecare excepție KCC, informații detaliate vor fi înregistrate pentru a vă ajuta să identificați sursa problemei Pentru a activa înregistrarea diagnosticului, consultați Rețeta (Capitolul ) Dezactivați Verificatorul de coerență a cunoștințelor pentru un site specificat Problemă Doriți să dezactivați Verificatorul de coerență a cunoștințelor pentru un anumit site și să creați singur conexiuni pentru a efectua replicarea între controlerele de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Dacă nu există nicio secțiune de configurare în panoul din stânga, conectați-vă la aceasta În panoul din stânga, în secțiunea de configurare, deschideți containerul Site-uri Faceți clic pe numele site-ului pentru care doriți să dezactivați Knowledge Consistency Checker În panoul din dreapta, faceți dublu clic pe obiectul CN=NTDS Site Settings Editați valoarea atributului opțiuni Pentru a dezactiva numai generarea topologiei intra-site, setați valoarea acestui atribut la ( ), pentru a dezactiva numai generarea topologiei inter-site, la ( ) dacă este necesar și pentru a dezactiva ambele topologii, la ( ) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Utilitarul Idifde vă va ajuta să dezactivați CSS pentru site-ul Creați un fișier LDIF numit disable kcc ldf cu următorul conținut: dn: cn-NTDS Site Settings cn=sites cn-configurat on changetype: modify Dezactivarea Verificatorului de coerență a cunoștințelor înlocuiți: opțiuni opțiuni Apoi rulați următoarea comandă: > Idifde -v - -f dlsable kcc ldf Folosind un script VBScript Acest cod dezactivează CSS pentru un anumit site • CONFIGURARE SCRIPT - strSiteName - " " ' De exemplu: Default-First-Site-Name boolDisableIntra ■ TRUE ' Setați această variabilă la TRUE sau FALSE * pentru a dezactiva sau a activa CSS într-un site boolDIsableInter - TRUE * Setați această variabilă la TRUE sau FALSE * pentru a dezactiva sau a activa CSS între site-uri ' Sfârșitul configurației - strAttr - "opțiuni" set objRootDSE - GetObjectCLDAP-,//RootDSE") set objObject - GetObjectCLDAP //cn-NTDS Setări site cn- & strSiteName & cn-site-uri " & objRootDSE Get("conf gurationNamingContext")) IntBitsOrlg - objObject Get(strAttr) IntBitsCalc - CalcB t(IntBitsOrlg boolDisableIntra) WScrlpt Echo "Verificarea semnalizatorului KCC de generare intra-site-" dacă IntBitsOrlg <> intBitsCalc atunci objObject Put strAttr IntEitsCalc objObject SetInfo WScript Echo "Schimbat" & strAttr & " din " & intBitsOrig & " în " & intBitsCalc altfel WScrlpt Echo "Nu a fost nevoie să se schimbe" & strAttr & "("&IntBitsOrlg&")" sfârşitul dacă IntBitsOrlg - objObject Get(strAttr) intBitsCalc - CalcBitCintBitsOrig boolDIsableInter) WScrlpt Echo "Verificarea indicatorului de generare inter-site KCC:" f IntBitsOrlg o IntBitsCalc atunci objObject Put strAttr, IntBitsCalc objObject SetInfo WScrlpt Echo "Schimbat" & strAttr & " din " & IntBitsOrlg & "la" și intBitsCalc altfel WScrlpt Echo " Nu a fost nevoie să se schimbe " & strAttr & " (" & intBitsOrig & ")" sfârşitul dacă Un comentariu În unele situații, administratorii de rețea trebuie să renunțe la crearea de conexiuni intra-site, între site-uri sau orice conexiuni utilizând Knowledge Consistency Checker Obiectele de conexiune create dinamic de acest instrument reprezintă conexiuni între Capitolul Topologia rețelei controlere de domeniu utilizate pentru schimbul de replici Dacă rulați Windows , vă recomandăm să dezactivați această caracteristică atunci când apar probleme legate de viteza de replicare pe rețele foarte mari În Windows Server , Knowledge Consistency Checker a fost mult îmbunătățit și se pare că nu trebuie să-l dezactivați acum Cel puțin, autorul nu ar recomanda dezactivarea acestuia fără un motiv întemeiat, deoarece aceasta necesită monitorizarea constantă a modificărilor în topologia site-ului și configurarea adecvată a obiectelor de conexiune Puteți dezactiva CSS numai la nivel de site Pentru a face acest lucru, modificați valoarea atributului opțiuni al obiectului NTDS Site Settings asociat site-ului Dacă acest atribut este setat la ( C ), atunci crearea automată a obiectelor de conexiune intra-site este dezactivată, iar dacă este setată la ( ), funcția de creare a obiectelor de conexiune inter-site este dezactivată Vezi si Rețeta (Capitolul ) descrie modul de setare a marcajelor de biți care fac parte din valorile atributelor, iar Rețeta descrie modul în care obiectele de conexiune sunt create manual De asemenea, consultați MS KB (Cum se dezactivează Consistența cunoștințelor Chcckcr de la crearea automată a topologiei de replicare) și MS KB (CUM PENTRU: Dezactivează generarea topologiei între site-uri pentru verificarea coerenței cunoștințelor pentru toate site-urile) Modificarea duratei de rulare a verificatorului de coerență a cunoștințelor Problemă Doriți să modificați timpul de rulare al Verificatorului de coerență a cunoștințelor Soluţie Utilizarea interfeței grafice cu utilizatorul Din caseta de dialog care se deschide ca urmare a comenzii Start ► Run (Start ► Run), rulați programul regeditexe Apoi, în panoul din stânga al Editorului de registru, deschideți secțiunile HKEY LOCAL MACHINE ► SYSTEM ► CurrentControlSet ► Services ► NTDS ► Parametri una câte una Faceți clic dreapta pe secțiunea Parametri și selectați Nou ► Valoare DWORD din meniul contextual Introduceţi un nume pentru parametrul Repl topology update period (secs) Faceți dublu clic pe numele parametrului creat și în câmpul Value data (Value) specificați perioada de lucru a CSS-ului în secunde (în mod implicit, acest instrument își îndeplinește sarcina la fiecare de secunde) Faceţi clic pe butonul OK Modificați durata de rulare a Knowledge Consistency Checker Folosind interfața liniei de comandă > reg add HKLM\System\CurrentControlSet\Services\NTDS\Paranieters /v "Repl topology d update period (secs)" /t REGJMJRD /d Folosind un script VBScript ' Acest cod modifică perioada de funcționare a CSS CONFIGURARE SCRIPT - intNumSecs - ' Valoarea perioadei în secunde, (implicit este s) ' - END CONFIGURATION strNetlogonReg - "SYSTEM\CurrentControlSet\Services\NTDS\Parameters" const HKLM - &H Set objReg - GetObject("winmgmtSirootXdefaultzStdRegProv") objReg SetDWORDValue HKLM strNetlogonReg "Perioada de actualizare a topologiei Repl (sec )", intNumSecs WScript Echo "Intervalul KCC setat la " & intNumSecs Un comentariu În mod implicit, Knowledge Consistency Checker își îndeplinește sarcina - analizează topologia site-ului și face modificările necesare topologiei de replicare prin crearea și ștergerea obiectelor de conexiune - la fiecare de secunde sau minute Acest interval poate fi modificat făcând modificări corespunzătoare în registrul de sistem O astfel de nevoie a apărut adesea în Windows atunci când lucrați cu o rețea mare, când KCC și-a îndeplinit sarcina mai mult de minute sau a monopolizat procesorul central În astfel de cazuri, intervalul optim era de obicei în jur de oră În Windows Server , acest instrument a fost îmbunătățit semnificativ, în special în ceea ce privește scalabilitatea, așa că nu se mai recomandă modificarea perioadei implicite de funcționare a acestuia Există o altă setare importantă de registry legată de funcționarea CSS În mod implicit, instrumentul pornește la minute după pornirea Active Directory Pentru a modifica această oră, trebuie să adăugați un parametru REG DWORD numit Repl topology update delay (secs) în registry, plasându-l în cheia HKLM\System\CurrentControlSet\Services\NTDS\Parameters\ Valoarea acestui parametru este timpul de la începutul Active Directory până la activarea KCC Vezi si Document MS KB (Actualizări de topologie de replicare) replicare Introducere Replicarea este una dintre cele mai importante și mai complexe caracteristici ale Active Directory Infrastructura necesară pentru a o susține, cum ar fi informațiile despre topologia rețelei, obiectele de conexiune și verificatorul de consistență a cunoștințelor, este discutată în Capitolul În acest capitol, ne vom concentra asupra sarcinilor și proceselor asociate cu replicarea datelor și verificarea rezultatelor acestora Verificarea sincronizării a două controlere de domeniu Problemă Doriți să determinați dacă cele două controlere de domeniu sunt sincronizate, adică dacă conțin obiecte care trebuie replicate Soluţie Folosind interfața liniei de comandă Următoarele comenzi vă permit să comparați vectorii de prospețime pe două controlere de domeniu > repadmin /showutdvec > repadmin /showutdvec Utilitarul repadmin pentru Windows are o sintaxă diferită Cu ajutorul acestuia, aceeași sarcină este efectuată după cum urmează: > repadmin /showvector > repadmin /showvector Folosind un script VBScript Acest cod scoate vectorul de prospețime pentru cele două controlere de domeniu ca o matrice arrDCLIst pentru contextul de denumire specificat în variabila strNCDN - CONFIGURARE SCRIPT - Această variabilă este setată la numele distinctiv al contextului de denumire pentru care se verifică dacă cele două controlere de domeniu sunt sincronizate strNCDN - " " ' De exemplu dc-amer dc-ra encorp,dc=com Această matrice conține numele controlorilor de domeniu Vizualizați informațiile de replicare pentru mai multe controlere de domeniu arrDCList - brray(" ' " ") ' -TERMINARE CONFIGURARE - set objladsTools - CreateObjectC'lADsTools DCFunctions") pentru fiecare strDC în arrDCList WScript Echo "USN-uri partenere de replicare pentru " & strDC & intUSN - objladsTools GetHighestCommittedUSN(Cstr(strDC) ) dacă intUSN - - atunci Wscript Echo "Eroare la retragerea USN: " și objladsTools LastErrorText WScript Quit sfârşitul dacă WScript Echo vbTab&strDC&"="&intUSN intRes = objladsTools GetRepl cationllSNState(Cstr(strDC) Cstr(strNCDN) OO) dacă intRes - - atunci , Wscript Echo "Eroare de recuperare USN-uri: " și objladsTools LastErrorText WScript Ieșire sfârşitul dacă for count = to intRes WScript Echo vbTab & objladsTools ReplPartnerName(număr) & " ■ " & objladsTools ReplPartnerUSNCcount) în continuare WScript Echo Următorul Un comentariu Pentru a afla dacă replicile datelor Active Directory de pe două controlere de domeniu sunt sincronizate, trebuie să le comparați vectorii de prospețime Fiecare controler de domeniu stochează, pentru fiecare dintre partenerii săi de replicare, o valoare maximă numită Update Sequence Number (USN) Setul acestor valori se numește vector de prospețime Pentru a verifica dacă DC și DC sunt sincronizate, trebuie mai întâi să citiți vectorul de prospețime al DC și apoi să comparați USN maxim pe care îl conține cu ceea ce DC crede că este numărul maxim de actualizare al DC Dacă nu se potrivesc, înseamnă că DC nu a primit încă toate modificările de la DC Apoi se efectuează o comparație inversă pentru a vedea dacă toate modificările făcute în directorul de pe DC sunt replicate la DC Vezi si Consultați documentul IadsTools doc, care face parte din pachetul Instrumente de asistență, pentru mai multe informații despre interfața lADsTools Vizualizați informațiile de replicare pentru mai multe controlere de domeniu Problemă Doriți să vizualizați informații despre procesele de replicare curente care rulează pe unul sau mai multe controlere de domeniu Capitolul Replicare Soluţie Folosind interfața liniei de comandă Următoarea comandă afișează informații despre procesele de replicare care rulează pe toate controlerele de domeniu care fac parte din pădure: > repadmin /replsum Poate folosi caracterul wildcard * pentru a afișa informații despre starea replicării pentru un anumit subset de domenii De exemplu, următoarea comandă scoate doar acest tip de informații pentru serverele ale căror nume încep cu dc-rtp: > repadmin /replsum dc-rtp* NOTĂ - Comanda repadmin este acceptată numai pe Windows Server Un comentariu Comutatorul /replsum al comenzii repadmin vă permite să obțineți rapid informații despre starea actuală de replicare Când aveți impresia că există probleme, executați mai întâi această comandă Dacă utilizați comanda repadmin cu comutatorul /replsum pentru a interoga informații despre un număr mare de controlere de domeniu, atunci adăugând comutatorul /sort la aceasta, puteți ordona tabelul rezultat după una dintre coloane Un alt comutator util, /errorsonly, vă permite să afișați informații numai despre acele controlere de domeniu care sunt asociate cu erori de replicare Vedeți modificările nereplicate în directoarele a două controlere de domeniu Problemă Doriți să examinați toate modificările nereplicate aduse replicilor directoarelor pe fiecare dintre cele două controlere de domeniu specificate Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul Replication Monitor din pachetul Support Tools (replmon exe) Executați comanda Vizualizare ► Opțiuni (Vizualizare ► Parametri) În fila General, bifați caseta de selectare Afișare parteneri de replicare tranzitivă și date extinse și faceți clic pe OK În panoul din stânga, faceți clic dreapta pe Servere monitorizate și selectați Adăugare server monitorizat Expertul Adăugare Ser monitorizat rezultat Vedeți modificările nereplicate ver Wizard vă va ajuta să specificați primul dintre cele două controlere de domeniu (să-l numim DC ) - cel care va fi monitorizat În panoul din stânga, în containerul serverului pe care l-ați specificat, deschideți secțiunea de director pentru care doriți să vizualizați informații Faceți clic dreapta pe al doilea controler de domeniu (să-l numim DC ) și selectați comanda Verificați USN curent și obiectele nereplicate din meniul contextual (Verificați USN curent și obiectele nereplicate) Dacă este necesar, introduceți un nume de utilizator și o parolă, apoi faceți clic pe OK Dacă orice modificări nu au fost încă replicate de la DC la DC , se va deschide o fereastră care arată o listă de obiecte nereplicate Pentru a obține o listă de modificări care nu s-au replicat încă de la DC la DC , repetați aceiași pași, dar specificați DC ca analizor și DC ca comparator Folosind interfața liniei de comandă Pentru a găsi orice diferență între replicile directoarelor stocate pe două controlere de domeniu, executați următoarele comenzi Folosind tasta /statistlcs, puteți vizualiza informații generale despre modificările efectuate: > repadmin /showchanges Content Identification OI> > repadmin /showchanges Versiunea repadmin pentru Windows are o sintaxă diferită Cu ajutorul aceleiași probleme se rezolvă astfel: > repadmin /getchanges > repadmin /getchanges oI context oI> Folosind un script VBScript Acest cod, folosind interfața lADsTools, afișează o listă de non-replicate modificări în partiția de director strNCDN pentru două controlere doken, ale căror nume sunt date în variabilele strDCIName și strDC Name - CONFIGURARE SCRIPT - strNCDN - " " ' De exemplu: dc-ral encorp dc-com strDCIName - " " ' De exemplu: dcl rallencorp com strOC Name = " " ' De exemplu: dc ral encorp cOm * - TERMINAREA CONFIGURĂRII set objladsTools - CreateObjectC'IADsTools OCFunctions") "Pentru a identifica corect partenerul în apelul metodei GetReplicatlonUSNState," trebuie să obțineți GUID-urile ambelor servere strDCIGUID = objladsTools GetGuidForServer(Cstr(strDClName) Cstr(strDClName) O) strDC GUID - objladsTools GetGuidForServer(Cstr(strDC Name) Cstr(strDC Name) O) Acum, pentru fiecare server, trebuie să obțineți valoarea USN a celuilalt server, pe care o consideră maximă Aceste date sunt transmise metodei GetMetaDataDifferences returnând informații despre modificările nereplicate Capitolul Replicare IntRes = objladsTools GetReplicationUSNState(Cstr(strDClName) Cstr(strNCDN) OO) dacă intRes = - atunci Wscri pt Echo objIadsTools LastErrorText WScript Ieșire sfârşitul dacă for count - to intRes dacă strDC GUID = objladsTools ReplPartnerGuid(count) atunci ntDC USN - objIadsTools ReplPartnerUSNtcount) sfârşitul dacă Următorul dacă ntDC USN = "" atunci WScript Echo strDC Name & " nu este un partener de replicare cu " & strDCIName end if intRes = objladsTools GetReplicationtlSNState(Cstr(strOC Name) Cstr(strNCDN) OO) dacă intRes = - atunci Wscri pt Echo objladsTools LastErrorText WScript Ieșire sfârşitul dacă for count = to intRes dacă strDCIGUID = objladsTools ReplPartnerGuid(număr) atunci intDClUSN - objladsTools ReplPartnerUSN(număr) sfârşitul dacă Următorul dacă intDC USN - "" atunci WScript Echo strDCIName & " nu este un partener de replicare cu " & strDC Name end if Acum, după ce am primit valorile maxime USN pentru ambii colegi, le putem trece la metoda GetMetaDataDifferences pentru a obține informații despre modificările nereplicate intRes - objladsTools GetMetaDataDifferences(Cstr(strDClName) Cstr(intDClUSN), Cstr(strNCDN), ) dacă intRes - - atunci Wscri pt Echo objIadsTools LastErrorText WScript Ieșire sfârşitul dacă WScript Echo "Date pe " & strDCIName & " dar nu " & strDC Name & pentru numărare - la intRes WScript Număr de eco & " " & objIadsTools MetaDataDifferencesObjectDN(număr) WScript Echo vbTab & " Atribut: " & objladsTools MetaDataDifferencesAttribute(număr) WScrîpt Echo vbTab & " Ora de scriere: " & objladsTools MetaDataDifferencesLastWriteTime(count) WScrlpt Echo vbTab & " Server Orig: " & objladsTools MetaDataDifferencesOri gServer(număr) WScript Echo vbTab & " Orig USN: " & objladsTools MetaDataDifferencesOri gUSN(count) next WScript Echo intRes - objladsTools GetMetaDataDifferences(Cstr(strDC Name) Cstr(intDC USN), Cstr(strNCDN) ) dacă intRes - - atunci Wscri pt Echo objIadsTools LastErrorText WScript Ieșire Replicare forțată de la un controler de domeniu la altul sfârşitul dacă WScript Echo "Date pe " & strDC Name & " dar nu " & strDCIName & for count - to intRes Wscript Număr de eco & " " & objladsTools MetaDataDifferencesObjectDN(număr) WScrlpt Echo vbTab & " Atribut: " & objIadsTools MetaDataDifferencesAttribute(număr) Wscript Echo vbTab & " Ora de scriere: " & objladsTools MetaDataDifferencesLastWriteTime(număr) WScrlpt Echo vbTab & " Server Orig: " & objIadsTools MetaDataDifferencesOri gServer(număr) WScript Echo vbTab & " Orig USN: " & objladsTools MetaDataDifferencesOrigUSN(count) next Un comentariu Toate cele trei soluții arată cum să afișați informații despre modificările nereplicate efectuate la replicile directoarelor pe fiecare dintre cele două controlere de domeniu Comanda repadmin /showchanges, care are mai multe opțiuni suplimentare, poate, în special, să salveze datele de ieșire într-un fișier pentru analize ulterioare, precum și să afișeze informații generale despre modificările efectuate Vezi si Consultați documentul IadsTools doc, care face parte din pachetul Instrumente de asistență, pentru mai multe informații despre interfața lADsTools Replicare forțată de la un controler de domeniu la altul Problemă Trebuie să forțați replicarea datelor din director de la un controler de domeniu la altul Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Localizați obiectul Setări NTDS al controlerului de domeniu la care alegeți să replicați modificările În panoul din dreapta, faceți clic dreapta pe obiectul de conexiune care reprezintă conexiunea la controlerul de domeniu de la care doriți să replicați modificările și selectați Replicare acum din meniul contextual care se deschide Capitolul Replicare Folosind interfața liniei de comandă Următoarea comandă sincronizează replici ale contextului de denumire de la controler la controler : > repadmin /replicate Utilitarul repadmin pentru Windows are o sintaxă de apel diferită Cu ajutorul său, aceeași sarcină este efectuată într-un mod diferit: > repadmin /sync Folosind un script VBScript Acest cod forțează replicarea între doi ' controlere de domeniu pentru contextul de denumire dat • - CONFIGURARE SCRIPT - strOCIName = " " ' De exemplu: dcl strDC Name - '' " ' De exemplu: dc strNamingContextDN - " n ' De exemplu: dc-ral encorp dc-com • - TERMINAREA CONFIGURĂRII set objladsTools - CreateObjectC"lADsTools DCFunctions") intRes = objladsTools ReplicaSync(Cstr(strOClName) Cstr(strNamingContextDN), Cstr(strDC Name) ) dacă intRes - - atunci Wscript Echo "Eroare: " și objladsTools LastErrorText altfel WScript Echo "Replicarea inițiată de la " & strDC Name & " la " & strDClName se termină dacă Un comentariu Soluțiile de mai sus arată cum puteți împinge toate modificările directorului nereplicate de la un controler de domeniu la altul După cum știți, sincronizarea este un proces unidirecțional Pentru a asigura sincronizarea completă a două controlere de domeniu, trebuie să efectuați aceiași pași prin schimbarea controlerelor de domeniu NOTĂ - - Utilitarul repadmin oferă o altă opțiune: replicați doar un obiect, mai degrabă decât toate obiectele nereplicate într-un context de denumire dat Pentru a face acest lucru, adăugați comutatorul /replsingleobj la apelul său (acceptat numai pe Windows Server ) Vezi si Consultați Rețeta pentru cum să vizualizați informații despre modificările nereferite care există pe două controlere de domeniu Documentul IadsTools doc, care face parte din pachetul Instrumente de asistență, oferă mai multe informații despre interfața lADsTools Vă recomandăm să examinați MS KB (Replicare IP-tiating între partenerii de replicare directă Active Directory), pentru mai multe informații despre interfața lADsTools, consultați fișierul IadsTools doc deja menționat din pachetul Instrumente de asistență iz b schimbarea perioadei de replicare intrasite Modificarea perioadei de replicare intrasite Problemă Doriți să modificați perioada de replicare intrasite, adică durata de timp în secunde care se scurge din momentul în care controlerul de domeniu primește datele modificate până când inițiază replicarea către alți controlere de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă cu comanda Start ► Run (Start ► Run), rulați programul regedit exe Deschideți cheia HKEY LOCAL MACHINE\SYSTEM\CurrentControl-Set\Services\NTDS\Parameters în panoul din stânga Găsiți setarea Replicator notify pauză după modificare (sec) Dacă nu există, faceți clic dreapta pe secțiunea Parametri, selectați Nou ► Valoare DWORD din meniul contextual care se deschide și denumiți noul parametru Replicator notify pauză după modificare (sec ) Faceți dublu clic pe numele noii setări și specificați durata de timp, în secunde, care trece de când un controler de domeniu primește modificări până când inițiază replicarea la alți controlere de domeniu Faceţi clic pe butonul OK Folosind interfața liniei de comandă În următoarea comandă, înlocuiți elementul cu o valoare care specifică perioada de replicare intrasite: > reg add HKLM\System\CurrentControlSet\Services\NTDS\Parameters /v "Replicator notifică pauză după modificare (sec )" /t REG CWORD /d Folosind un script VBScript ' Acest cod setează perioada de replicare intrasite ' CONFIGURARE SCRIPT - strDC - " " ' Controller terminat de configurat intNumSeconds - ' Întârziere în secunde END CONFIGURATION const HKLM - &Н strNTDSReg = "SYSTEMXCurrentControlSetXServi sezCHITOSHRagacheIerz" set objReg = GetObject("winmgmts:\\" & strDC & "\root\default:StdRegProv") Capitolul iz replicare objReg SetOWORDValue HKLM strhlTDSReg "Replicator notifică pauză după modificare (sec )" IntNumSeconds WScmpt Echo "Întârziere de replicare intra-site setată la " & IntNumSeconds Un comentariu După ce se fac modificări la copia locală a datelor din director și a trecut o perioadă de timp specificată, controlerul de domeniu trimite cereri de replicare către partenerii săi care fac parte din același site În mod implicit, întârzierea este de secunde, dar îi puteți modifica durata așa cum este descris mai sus, setând o nouă valoare în parametrul Replicator notify pause after modify (secs), care este stocat în registrul de sistem al controlerului de domeniu NOTĂ - Dacă această setare este modificată pe un controler de domeniu care rulează Windows , Microsoft recomandă eliminarea acesteia după actualizarea la Windows Server pentru ca setarea implicită ( secunde) să intre în vigoare Vezi si Document MS KB (Cum se modifică intervalul de replicare implicit al controlerului de domeniu intra-site) Modificarea perioadei de replicare intersite Problemă Trebuie să configurați un program de replicare pentru un link de site Soluţie În această soluție, vom presupune că interacțiunea serverelor din rețea se realizează în conformitate cu protocolul de transport IP La utilizarea protocolului SMTP, soluția va fi similară Utilizarea interfeței grafice cu utilizatorul Deschideți programul de completare Active Directory Sites and Services Deschideți containerul Inter-Site Transport și faceți clic pe containerul IP În panoul din dreapta, faceți dublu clic pe obiectul care reprezintă linkul site-ului pe care doriți să îl configurați În câmpul Replica evegu, setați o nouă valoare pentru perioada de replicare Faceţi clic pe butonul OK ѵpigiichsgіt: modul ika și im și rata de replicare între saii •fAJ Folosind interfața liniei de comandă Pentru a modifica perioada de replicare, creați un fișier LDIF numit set link rep interval ldf cu următorul conținut: dn: cn= ,cn-ip,cn-Inter-Site Transports,cn=site-uri cn-config gurati on changetype: modify înlocuiți: replInterval replInterval: Apoi rulați comanda: > Idifde -v - -f set link rep interval Idf Folosind un script VBScript ' Acest cod setează perioada de replicare pentru link-ul site-ului • - CONFIGURARE SCRIPT strLinkName - " " ' Numele implicit al link-ului pe care doriți să-l configurați intNewInterval = ' Perioada de replicare în minute - SFÂRȘIT CONFIGURARE - set objRootDSE - GetObject("LDAP://RootDSE") set objLink - GetObject("LOAP://cn=" & strLinkName & " cn-IP cn-Inter-site Transports cn=site-uri " & objRootDSE Get("configurationNamingContext") ) objLink Pune "replInterval" intNewInterval objLink SetInfo WScrlpt Echo "Setați intervalul pentru link " & objLink GetC'cn") & "la" și intNewInterval Un comentariu Pentru a seta intervalul de replicare între două site-uri, trebuie să specificați o nouă valoare pentru atributul repl Interval al obiectului siteLink care reprezintă relația lor Acest atribut definește durata perioadei de replicare În mod implicit, este de de minute ( ore), iar valoarea sa minimă este de minute Dezactivați modul de comprimare a traficului de replicare între site-uri Problemă Este necesar să dezactivați modul de comprimare a traficului de replicare între site-urile din Active Directory Soluţie Pentru a dezactiva compresia traficului de replicare între site-uri, trebuie să modificați valoarea atributului opțiuni al obiectului siteLink, care reprezintă legătura care conectează aceste site-uri Obiectul siteLink este stocat în containerul cn-IP cn=Inter-site Transports cn-Sites cn-Configuration, rci plicare Atributul opțiuni nu este altceva decât un set de indicatori de biți Pentru a dezactiva modul de compresie, setați bitul (valoarea zecimală ) în el Dacă acest atribut nu este deja setat (gol), îl puteți seta pur și simplu la Cu toate acestea, dacă conține deja o valoare, trebuie să setați steag-ul de mai sus în el fără a modifica alte setări Cum se face acest lucru este descris în rețeta (capitolul ) Un comentariu În mod implicit, datele replicate între site-uri sunt comprimate, dar datele replicate într-un site nu Se recomandă comprimarea datelor transmise între site-uri în cazurile în care traficul trece prin rețeaua globală și este de dorit să se reducă cât mai mult volumul acestuia Cu toate acestea, rețineți că compresia crește sarcina CPU pe serverele cap de pod de replicare Și dacă eliberarea procesorului este mai importantă pentru tine decât reducerea traficului, modul de compresie ar trebui să fie dezactivat Vezi si Rețeta (Capitolul ) se ocupă cu setarea flag-urilor de biți individuale care fac parte din valorile atributelor Rezolvarea problemelor de replicare Problemă Trebuie să știți dacă replicarea are succes Soluţie Utilizați următoarele comenzi pentru a depana problemele de replicare pe controlerul de domeniu care solicită modificări: > dcdiag /test replicări > repadmin /showrepl /errorsonly Un comentariu Pentru un raport mai detaliat despre rezultatele replicării, utilizați utilitarul Replication Monitor (replmon exe) Selectați opțiunea Generare Status Report și va genera un raport lung care conține detalii despre topologie și rezultatele replicării, precum și orice erori care au apărut O altă sursă importantă de informații despre problemele de replicare și problemele de consistență a datelor este jurnalul de evenimente Directory Services Vezi si Rețeta vă arată cum să vizualizați informații despre reticență pentru mai multe controlere de domeniu Activarea înregistrării evenimentelor de replicare extinsă Problemă Trebuie să activați înregistrarea avansată a evenimentelor de replicare Soluţie Activați înregistrarea de diagnosticare pentru cinci evenimente de replicare Pentru mai multe informații, consultați Rețeta (Capitolul ) Vezi si Document MS KB (Cum se activează jurnalizarea evenimentelor de diagnosticare pentru serviciile Active Directory) Setarea modului de consistență puternică sau slabă pentru replicare Problemă Doriți să setați replicarea fie în modul de consistență puternică, fie în modul de consistență slabă Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă cu comanda Start ► Run (Start ► Run), rulați programul regeditexe Deschideți cheia de registry HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters în panoul din stânga Dacă parametrul Strict Replication Conslstenncy nu este în această secțiune, faceți clic dreapta pe secțiunea Parameters și selectați New ► DWORD Value din meniul contextual care se deschide Apoi introduceți numele Replicator notify pauză după modificare (sec) pentru noul parametru Faceți dublu clic pe numele setării nou create și setați valoarea acesteia la (caz în care replicarea va fi în modul strict de consistență) sau (în care replicarea va avea o consistență slabă) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Pentru a seta replicarea în modul strict de consistență, executați următoarea comandă: > reg add HKLM\System\CurrentControlSet\Serv ccs\NTDS\Paranieters /v "Strict Replication Conslstency" /t REG DWDRD /d nu i lava iz neshiikatsya Modul de consistență slabă este setat cu următoarea comandă: > reg add HKLM\System\CurrentControlSet\Services\NTOS\Pararoeters /v "Strict Replication Consistency" /t REG DWORD /d Folosind un script VBScript Codul stabilește modul de consistență de replicare puternică sau slabă ' pentru controlerul de domeniu dat • - CONFIGURARE SCRIPT intEnableStrict = ' - consistenţă strictă O - consecvență slabă a strDC - " " ' - END CONFIGURATION const HKLM = &Н str NTDSReg - "SYSTEM\CurrentControlSet\Services\NTDS\Parameters" set objReg = GetObjectC "winmgmtsAV & strDC & "\root\default:StdRegProv") objReg SetDWORDValue HKLM strNTDSReg, "Consistență strictă a replicației" intEnableStrict WScrlpt Echo "Valoarea de consistență strictă a replicației setată la " & intEnableStrict Un comentariu Înainte de lansarea Windows Service Rask , controlerele de domeniu funcționau sub un model de replicare cu coerență slabă în care obiectele restaurate erau re-catalogate și replicate tuturor controlerelor de domeniu Restaurat (permanent) este un obiect care a fost șters, dar apoi restaurat (în starea sa inițială), deoarece controlerul de domeniu nu a putut replica informații despre ștergerea acestuia în timpul specificat în atributul tombStoneLi feti sau un obiect care a fost restaurat dintr-un backup creat înainte de expirarea timpului specificat de atributul tombStoneLi feti me Consultați Rețeta (Capitolul ) pentru mai multe informații despre acest atribut Controlerele de domeniu care rulează sistemul de operare Windows cu Service Pack instalat și sistemele de operare anterioare reproduc toate obiectele restaurate Totuși, acest lucru vine cu un anumit risc, deoarece obiectele pe care administratorul sau utilizatorul le consideră șterse reapar în director Unele pachete de corecții lansate după Service Rusk și ulterior în Service Rusk au introdus o replicare puternică Cu o consecvență puternică, controlerul de domeniu care transmite oprește replicarea de îndată ce întâlnește un obiect restaurat Înregistrează evenimentul în jurnalul serviciului de director, indicând că nu poate replica obiectul restaurat Deși replicarea strictă poate fi întreruptă înainte de finalizare, această metodă este preferată deoarece asigură că obiectele șterse nu apar în director În același timp, administratorul trebuie să monitorizeze constant funcționarea controlerelor de domeniu, asigurându-se că replicarea are loc în mod regulat, iar jurnalele nu conțin intrări despre evenimentul Vezi si Rețeta intră în detalii despre atributul tombStoneLi feti te De asemenea, vă recomandăm să citiți MS KB (Lingering Objects Prevent Active Directory Replication from Occurring) și MS KB (Lingering Objects may remain after you readuce an Out-of-Date Global Catalog Server Back Online) Căutați obiecte conflictuale Problemă Doriți să determinați ce obiecte cauzează conflicte de replicare Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Selectați Conexiune ► Conectare din meniu În câmpul Server, introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) Pentru a vă conecta la un controler de domeniu obișnuit, introduceți în câmpul Port și pentru a vă conecta la serverul de catalog global Faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Dacă este necesar, introduceți numele și parola unui utilizator care are permisiunea de a vizualiza obiecte și faceți clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN (nume distinctiv de bază), introduceți numele distinctiv al obiectului de la care să începeți căutarea Specificați domeniul de căutare adecvat în zona Scop În câmpul Filtru, introduceți următoarea specificație a filtrului: (| (sp= *\OACNF:*)(ou=*\OACNF:*)) Faceți clic pe butonul Run Folosind interfața liniei de comandă Următoarea comandă găsește toate obiectele aflate în conflict în pădurea specificată: > dsquery * forestroot -ds -attr dist nguishedName -scope subtree -filter *' (| (cn-*\OACNF: *) (ou-*\OACNF: *)) " Folosind un script VBScript ' Acest cod găsește toate obiectele aflate în conflict într-o anumită pădure ' În cazul unui timeout în timpul căutării, puteți modifica valoarea parametrului strBase ' prin specificarea unui anumit OU sau prin specificarea unui container ' CONFIGURARE SCRIPT strBase - " " & ' FIRMĂ CONFIGURARE - strFilter - "(|(cn-*\ ACNF:*)(ou-*\ ACNF:*)):" strAttrs - "distinguishedName:" strScope - "Subtree" set objConn - CreateObjectC'ADODB Connection") objConn Provider - "ADsDSOObject" objConn Open Setați objRS și objConn Execute(strBase & strFilter & strAttrs & strScope) WScrlpt Echo objRS RecordCount și " obiecte aflate în conflict" în timp ce nu sunt objRS EOF Wscript Echo objRS Fields Item("distinguishedName") Value objRS MoveNext merge încet Un comentariu Conflictele de replicare pot apărea în orice sistem distribuit cu mai mulți utilizatori, iar Active Directory nu face excepție În special, apare un conflict dacă un obiect este creat pe un controler de domeniu și înainte de a fi replicat la alte controlere, un obiect cu același nume este creat pe un alt controler de domeniu Care obiect ar câștiga într-o astfel de situație, adică care dintre cele două ar rămâne neschimbat și care ar fi redenumit? În Active Directory, ultimul obiect creat "câștigă", iar celălalt obiect primește următorul nume: \ SKE: unde este numele original al obiectului redenumit, urmat de terminatorul nul (un caracter care marchează adesea sfârșitul unei linii), apoi șirul CNF: și, în final, GUID-ul obiectului Este logic să răsfoiți periodic arborele Active Directory pentru a găsi obiecte conflictuale redenumite Găsirea unor astfel de obiecte cu o singură interogare nu este ușoară, deoarece instrumentele de filtrare sunt prost adaptate pentru o astfel de căutare Toate cele trei soluții folosesc două caractere * la începutul și la sfârșitul modelului de căutare, ceea ce poate cauza expirarea timpului de căutare dacă există un număr mare de obiecte În astfel de cazuri, poate fi limitat la câteva containere sau OU, cum ar fi cele care conțin obiecte computer, deoarece acest tip de obiect tinde să aibă cele mai multe conflicte Să luăm în considerare un astfel de exemplu Se creează un nou cont de computer, apoi se alătură domeniului, după care computerul repornește Dacă, după pornire, un computer încearcă să se conecteze la Active Directory printr-un controler de domeniu la care un nou obiect computer nu a fost încă replicat, acel controler de domeniu adaugă noul obiect, rezultând un conflict între cele două obiecte Vezi si Consultați MS KB pentru îndrumări despre ce să faceți cu obiectele aflate în conflict MS KB (Cicniri de replicare în Windows ) și MS KB (Cum să redenumești un obiect după ce a avut loc o coliziune de replicare) Vedeți metadatele obiectului Problemă Doriți să vedeți metadatele obiectului conținute în atributul repl -PropertyMeta ata Atributul specificat stochează informații despre cele mai recente actualizări ale altor atribute ale obiectului Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu sau domeniul care conține obiectul de interes În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Dacă este necesar, introduceți numele și parola unui utilizator căruia îi este permis să vadă obiectul și faceți clic pe OK Rulați comanda Răsfoire ► Replicare ► Vlew Metadate (Căutare ► Replicare ► Vizualizare metadate) În câmpul Object DN, introduceți numele distinctiv al obiectului ale cărui metadate doriți să le vizualizați Faceţi clic pe butonul OK Folosind interfața liniei de comandă În următoarea comandă, înlocuiți object id> cu numele distinctiv al obiectului ale cărui metadate doriți să le vizualizați > repadmin /showobjmeta În Windows , cheia folosită în această comandă se numea Zshowneta, iar parametrii acesteia erau specificați în ordine inversă: Folosind un script VBScript ' Codul scoate metadatele obiectului dat ■ CONFIGURARE SCRIPT - strObjectDN - " " ' De exemplu: dc=rallencorp,dc=com strDC - " " ' De exemplu: dcl ' TERMINAREA CONFIGURĂRII set objladsTo Îs - CreateObjectCIAOsTools DCFunctions") IntRes - objladsTools GetMetaData(Cstr(strDC) Cstr(strObjectDN), ) dacă intRes - - atunci Wscript Echo objladsTools LastErrorText WScrlpt Ieșire sfârșit dacă for count - to intRes WScrlpt Echo count & " " & objladsTools MetaDataName(count) WScrlpt Echo vbTab & " Versiune: " & objIadsTools MetaDataVers și onNumber(count) WScrlpt Echo vbTab & " Ultima scriere: " & objIadsTools MetaDataLastWri teT i me(count) WScrlpt Echo vbTab și "USN local" și objIadsTools MetaDataLocalUSN(număr) WScrlpt Echo vbTab & " Sursă USN: " & objladsTools MetaOataSourceUSN(număr) WScrlpt Echo vbTab & " Server: " & objladsTools MetaDataServerName(număr) în continuare Un comentariu Metadatele unui obiect sunt o sursă importantă de informații necesare pentru a rezolva problemele care apar în timpul replicării sau pentru a determina când valoarea unui atribut de obiect a fost modificată ultima dată Cel mai simplu mod de a verifica dacă două controlere de domeniu conțin copii identice ale unui obiect este să vizualizați metadatele obiectului pe ambele controlere de domeniu Din păcate, atributul replPropertyMetaData este stocat ca șir binar, astfel încât valoarea sa nu poate fi citită pur și simplu Scriptul VBScript de mai sus folosește metoda GetMetaData, care face parte din interfața lADsTool și include metoda DsReplicaGetlInfo Această ultimă metodă "înțelege" formatul atributului repl PropertyMetaData și returnează informațiile pe care le conține într-o formă care poate fi citită de om Pentru fiecare atribut al obiectului modificat, următoarele informații sunt stocate în atributul replPropertyMetaData: О Attribute ID (identificator de atribut) - identificatorul atributului modificat; O Versiune atribut - numărul de scrieri de atribut; Despre USN local (USN local) - atribut USN pe controlerul de domeniu local; O USN de origine - USN-ul acestui atribut la momentul în care a fost făcută modificarea pe controlerul de domeniu sursă; O DC de origine - Controlerul de domeniu unde a fost făcută modificarea; poate fi numele unui server local sau alt server; Despre oră / dată (ora și data) - ora și data traduse în UTC (Timp universal coordonat - Timp universal coordonat) Vezi si Consultați documentul IadsTools doc, care face parte din pachetul Instrumente de asistență, pentru mai multe informații despre interfața lADsTools numele domeniului Introducere Active Directory este strâns cuplat la un serviciu de sistem foarte important numit Domain Name System (DNS) Clienții și controlorii de domeniu folosesc DNS pentru a găsi controlere de domeniu pentru un site specificat sau controlere care îndeplinesc o anumită funcție Fiecare controler de domeniu are un număr de înregistrări de resurse asociate în DNS care indică faptul că furnizează servicii ca controler de domeniu, server de catalog global, emulator de controler de domeniu primar (PDC) și așa mai departe Una dintre caracteristicile Active Directory este că stochează datele DNS în directorul său În loc să folosească metoda moștenită de transfer de zone primar-secundar, sau chiar metoda mai modernă NOTIFY (RFC ), pentru a replica o zonă între servere, Active Directory stochează datele zonei în sine și folosește mecanismul de replicare standard între controlerele de domeniu serverul DNS trebuie să fie un controler de domeniu Cu toate acestea, nu este de dorit să-l supraîncărcați cu funcțiile unui controler de domeniu, mai ales dacă intenționați să gestionați un număr mare de interogări DNS Anatomia obiectelor DNS Datele DNS sunt stocate în Active Directory numai dacă o zonă integrată în director este definită în serviciul de sistem însuși Când se utilizează zone primare și secundare care nu sunt integrate în director, datele Serviciului de nume de domeniu sunt stocate local pe sistemul de fișiere al fiecărui server DNS Dacă aveți o zonă integrată în AD, Windows creează un container numit cn= cn=MicrosoftDNS cn= System În Windows Server , puteți utiliza partițiile aplicației pentru a stoca date DNS într-un astfel de caz În special, acestea pot fi stocate: A pe toate controlerele de domeniu care sunt membri ai domeniului specificat (numai Windows ); O pe toate controlerele de domeniu care sunt servere DNS și fac parte din domeniul specificat; O pe toate controlerele de domeniu care fac parte din pădurea specificată Capitolul Sistemul de nume de domeniu În al doilea caz, implicit, datele DNS sunt scrise în secțiunea dc=Do-mainONSZones , iar în al treilea caz, în secțiunea dc-ForestONSZones, Ambele partiții ale aplicației se reproduc numai la controlerele de domeniu din pădure sau domeniul care sunt servere DNS În containerul MicrosoftDNS, pentru fiecare zonă integrată AD, există un container dnsZone care conține obiecte dnsNode Fiecare astfel de obiect stochează înregistrări de resurse asociate unui anumit nod Mai jos este reprezentarea textuală a înregistrării A; numele dcl rallencorp com este considerat numele de gazdă (de obicei dat în partea stângă a înregistrării resursei): dcl ral encorp celula IN A , , Deoarece un nume precum dcl rallencorp com poate avea mai multe înregistrări de resurse asociate, Microsoft a decis să creeze un obiect dnsNode separat pentru fiecare nume Acest obiect are un atribut dnsRecord cu valori multiple care conține toate înregistrările de resurse asociate cu acest nod Din păcate, conținutul acestui atribut este stocat în format binar și, prin urmare, nu îl puteți citi Cele mai importante atribute ale obiectelor dnsZone și dnsNode sunt descrise în Tabelul și Tabelul Atributele obiectului dnsZone Descrierea atributului dc Numele distinctiv relativ al zonei dnsProperty Șir binar care conține informații de configurare despre zonă msDS-Approx-Immed-Subordinates Numărul aproximativ de noduri din zonă Acest atribut este nou în Windows Server Tabelul Atributele obiectului dnsNode Descrierea atributului dc Numele distinctiv relativ al nodului dnsRecord Un atribut binar multicast care stochează înregistrări de resurse dnsTorrbstoned Un boolean care indică dacă nodul este marcat pentru ștergere Valoarea FALSE înseamnă că nodul nu este marcat, iar valoarea TRUE înseamnă că este marcat Creați o zonă de căutare înainte Problemă Trebuie să creați o zonă de căutare înainte Într-o astfel de zonă, numele sunt mapate cu alte nume sau adrese IP Creați o zonă de căutare înainte acea? Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă nu există un nume de server în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Conectare la serverul DNS din meniul de comenzi rapide Setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK În panoul din stânga, localizați containerul Zone de căutare directă sub subsecțiunea server Faceți clic dreapta pe el și selectați Zonă nouă din meniul contextual care se deschide Faceţi clic pe butonul Următorul Selectați un tip de zonă și faceți clic pe butonul Următorul Dacă alegeți să stocați datele zonei în Active Directory, vi se va solicita să specificați pe ce servere să replicați datele DNS După ce ați făcut selecția, faceți clic pe butonul Următorul (Această caracteristică există numai în Windows Server ) Introduceți un nume pentru zonă și faceți clic pe butonul Următorul Urmați instrucțiunile suplimentare ale vrăjitorului Acestea vor diferi în funcție de faptul dacă creați o zonă principală, o zonă secundară sau o zonă stub Folosind interfața liniei de comandă Următoarea comandă creează o zonă integrată în Active Directory: > dnscmd /zoneadd /DsPrimary Folosind un script VBScript ' Acest cod creează o zonă de căutare directă integrată în Active Directory CONFIGURARE SCRIPT - strServer - " " ' De exemplu: dcl ral encorp corn strNewZone = " " ' De exemplu: othercorp com ' Sfârșitul configurației set objDNS - GetObject("winMgmtsAV & strServer & "\root\MicrosoftDNS") set objDNSZone " objDNS Get("MicrosoftONS Zone") strNull - objDNSZone CreateZone(strNewZone, True) WScrlpt Echo "Zona creată" și strNewZone Un comentariu La soluție folosind interfața de linie de comandă Când se creează o zonă DNS integrată în AD, comanda dnscmd poate fi utilizată nu numai cu comutatorul /DsPrimary, ci și cu comutatorul Zdp, care Capitolul Sistemul de nume de domeniu vă permite să specificați în ce secțiune de aplicații vor fi plasate datele acestei zone De exemplu: > dnscmd /zoneadd /DsPrimary /dp domaindnszones rallencorp com Către o soluție VBScript Ar trebui să utilizați furnizorul DNS WMI, primul API acceptabil dezvoltat de Microsoft pentru a accepta DNS Poate fi folosit pentru a crea și a modifica zone, a interoga și a gestiona înregistrările de resurse și pentru a configura serverul DNS Scriptul VBScript de mai sus utilizează metoda CreateZone a clasei MicrosoftONS Zone pentru a crea zona Vezi si Rețeta explică cum să creați o zonă de căutare inversă De asemenea, consultați MSDN CV (CUM SE: Creați o zonă nouă pe un server DNS în Windows Server ), MSDN: Furnizor DNS WMI și MSDN: Metoda CreateZone a clasei MicrosoftDNS Zone Creați o zonă de căutare inversă Problemă Este necesar să se creeze o zonă de căutare inversă în Active Directory, adică o zonă în care adresele IP sunt mapate la nume Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă nu există un nume de server în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Conectare la serverul DNS din meniul de comenzi rapide Setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK Extindeți ramura serverului în panoul din stânga și localizați containerul Zone de căutare inversă Faceți clic dreapta pe container și selectați Zonă nouă din meniul contextual care se deschide Faceţi clic pe butonul Următorul Selectați un tip de zonă și faceți clic pe butonul Următorul Dacă decideți ca datele zonei să fie stocate în Active Directory, vi se va solicita să specificați la ce servere ar trebui să fie replicate datele Vizualizați zonele de pe server *ЪSE DNS După ce ați făcut selecția, faceți clic pe butonul Următorul (Această caracteristică există numai în Windows Server ) Introduceți ID-ul rețelei sau numele zonei în câmpul Network ID și faceți clic pe butonul Următorul Urmați instrucțiunile vrăjitorului Acestea vor diferi în funcție de zona pe care o creați o zonă principală, secundară sau secundară Folosind interfața liniei de comandă Următoarea comandă creează o zonă de căutare inversă integrată în AD: > dnscmd /zoneadd /DsPrimary Folosind un script VBScript ' Acest cod creează o zonă de căutare inversă integrată cu Active Directory '-CONFIGURARE SCRIPT - strServer - " " ' De exemplu: dcl rallencorp com strNewZone - " " ' De exemplu in-addr arpa TERMINAREA CONFIGURĂRII - set objDNS - GetObject('winMgmts:\\" & strServer & "\r dnscmd /enumzones Folosind un script VBScript Codul imprimă o listă de zone ale căror date sunt stocate pe un anumit server ' - CONFIGURARE SCRIPT - strServer - " " ' De exemplu: dcl rallencorp com CONFIGURAȚIE DE sfârșit - set objDNS = GetObjectCwinHgmts W & strServer & "\root\Micros jftDNS") set objDNSServer - objDNS Get('T icrosoftDNS Server Name-"" """) set objZones - objDNS ExecQuery("Selectați * din MicrosoftDNS Zone" & "Unde OnsServerName - objDNSServer Name & WScript Echo "Zone activate" și objDNSServer Name pentru fiecare objZone din objZones WScrlpt Echo "" și nume objZOne Următorul Un comentariu Spre o soluție cu o interfață grafică de utilizator Dacă faceți clic pe Zone de căutare înainte sau Zone de căutare inversă în panoul din stânga, toate zonele vor fi listate în panoul din dreapta, împreună cu tipul fiecărei zone La soluție folosind interfața de linie de comandă Rularea comenzii dnscmd cu tasta /enumzones și fără alte opțiuni afișează o listă de zone ale căror date sunt stocate pe server Puteți seta filtre în această comandă pentru a selecta numai zone de tipurile specificate pentru afișare În Windows , comanda dnscmd vă permite să setați până la două filtre: Fllterl: /Primar /Secundar /Cache / Creat automat Filtrul : /redirecţiona /verso În Windows Server , metoda de filtrare s-a schimbat În loc să definiți două niveluri de filtrare, puteți specifica una dintre următoarele chei /Primar /Secundar /expeditor Conversia unei zone DNS obișnuite într-o zonă Z/ /ciot /Cache / Creat automat /redirecţiona /verso /Ds /Fişier /DomainDirectoryParty ti on /ForestDirectoryPartition /CustomDirectoryPartition /LegacyDirectoryPartition /OirectoryPartition Către o soluție VBScript Căutarea obiectelor MicrosoftDNS Zone într-o distribuție de script se face folosind o interogare WQL În instrucțiunea Select, puteți specifica criterii de selecție suplimentare, limitând astfel lista de zone returnate Vezi si Vă recomandăm să citiți documentul MSDN: MicrosoftDNS Zone Conversia unei zone DNS obișnuite într-o zonă integrată în Active Directory Problemă Doriți să convertiți zona DNS primară într-o zonă integrată în Active Directory, astfel încât conținutul acesteia să nu fie stocat într-un fișier text, ci într-un serviciu de director și replicat de acel serviciu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS În panoul din stânga, faceți clic dreapta pe intrarea DNS, apoi selectați Conectare la serverul DNS din meniul de comenzi rapide Introduceți numele serverului la care doriți să vă conectați, apoi faceți clic pe butonul OK Dacă doriți să convertiți o zonă de căutare inversă, deschideți containerul Zone de căutare inversă sau dacă doriți să convertiți o zonă de căutare inversă, deschideți containerul Zone de căutare inversă Faceți clic dreapta pe zona pe care doriți să o convertiți și selectați Proprietăți din meniul contextual care se deschide ^£S Capitolul Sistemul de nume de domeniu Faceți clic pe butonul Modificare de lângă câmpul Tip Bifați caseta de selectare Stocare zona în Active Directory Faceți dublu clic pe butonul OK Folosind interfața liniei de comandă > dnscmd /zoneresettype /DsPrimary Folosind un script VBScript ' Acest cod va converti zona dată în Active Directory integrat ' CONFIGURARE SCRIPT strZone - " " ' De exemplu: rallencorp com strServer - " " ' De exemplu: dcl rallencorp com - SFÂRȘIT CONFIGURARE - set objDNS - GetObject("winMgmts \\" & strServer & "\root\MicrosoftDNS") set objONSServer - objDNS Get ("MicrosoftDNS Server Name-" set objDNSZone - objDNS Get("MicrosoftDNS Zone ContainerNante"= & strZone & DnsServerName-""'' & objONSServer Name & Name-""" & strZone & ) strNull - objDNSZone ChangeZoneTypeCO, True) objDNSZone Put WScript Echo "Convertit " & strZone & " în AD-Integrated" Un comentariu Pentru mai multe informații despre zonele integrate în Active Directory, consultați Rețetele și Vezi si Documente MS KB (Cum se convertesc serverul primar DNS în Active Directory integrat), MS KB (Diferențe între zonele integrate primare și Active Directory) și metoda MSDN ChangeZoneTvpe a clasei zonei MicrosoftDNS Mutarea zonelor integrate în Active Directory în partiția aplicației Problemă Trebuie să mutați zonele integrate în Active Directory în partiția aplicației Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Această rețetă poate fi utilizată numai dacă nivelul funcțional al domeniului este Windows Server Mutarea zonelor integrate în Active Directory Dacă nu există un nume de server în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Conectare la serverul DNS din meniul de comenzi rapide În fereastra care se deschide, setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK În panoul din stânga, deschideți containerul serverului de care sunteți interesat și, în acesta, containerul Zonele de căutare înainte sau Zonele de căutare inversă Faceți clic dreapta pe numele zonei și selectați comanda Proprietăți din meniul contextual care se deschide Lângă câmpul Replicare, faceți clic pe butonul Modificare Selectați partiția aplicației în care doriți să mutați zona Faceți dublu clic pe butonul OK Folosind interfața liniei de comandă Următoarea comandă mută zona în partiția implicită de aplicație care este replicată tuturor controlerelor de domeniu actuale care sunt servere DNS: > dnscmd Zzonechangedirectorypartitlon /domain Folosind un script VBScript La momentul lansării acestei cărți, interfața DNS WMI Provider nu accepta capacitatea de a muta zone în partiția aplicației folosind cod Un comentariu În Windows , zonele integrate în AD au fost replicate tuturor controlerelor de domeniu din domeniul în care au fost stocate Cu toate acestea, se întâmplă adesea ca nu toți controlorii de domeniu să fie servere DNS, din cauza cărora traficul dintre ei și încărcarea acestora crește în mod nerezonabil Windows Server a oferit o soluție elegantă la această problemă folosind partiții de aplicație, partiții definite de utilizator care pot fi configurate pentru a se replica la orice controler de domeniu din pădure Utilizarea acestora oferă o mai mare flexibilitate în alegerea locației de stocare și replicare a zonelor integrate cu Active Directory Vezi si Secțiuni de aplicații sunt tratate în detaliu în Capitolul Capitolul Sistemul de nume de domeniu Delegarea controlului zonei Problemă Doriți să delegați controlul asupra înregistrărilor de resurse stocate într-o zonă specificată unui anumit utilizator sau grup de utilizatori Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă nu există un nume de server în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Conectare la serverul DNS din meniul de comenzi rapide În fereastra care se deschide, setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK În panoul din stânga, deschideți containerul serverului de care sunteți interesat și, în acesta, containerul Zone de căutare înainte (Zone de căutare înainte) sau Zone de căutare inversă (Zone de căutare inversă), în funcție de tipul zonei Faceți clic dreapta pe numele zonei și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Securitate și faceți clic pe butonul Adăugare Specificați utilizatorul (sau grupul) căruia doriți să-i delegați controlul În zona Permisiuni, bifați caseta Control total Faceţi clic pe butonul OK Folosind interfața liniei de comandă Următoarea comandă oferă unui utilizator sau unui grup acces complet la înregistrările de resurse ale zonei specificate: > dsacls dc- cn-MicrosoftDNS /GJ :Ѣk ; Folosind un script VBScript Codul acordă unui utilizator sau unui grup acces deplin la înregistrările de resurse ale zonei specificate ' - CONFIGURARE SCRIPT - strZoneDN - "dc= ,cn icrosoftDNS " strUserOrGroup = "utilizator sau grup>" ' De exemplu: joe@rallencorp com sau RALLENCORP\joe ' TERMINAREA CONFIGURĂRII - set objZone = GetObject ("LDAP://" & strZoneDN) constante Din enumerarea ADS ACETYPE ENUM Crearea și ștergerea înregistrărilor de resurse Const ADS ACETYPE ACCESS ALLOWED OBJECT - &h ' De la ADS FLAGTYPE ENUM Const ADS FLAG OBJECT TYPE PRESENT - &hl ' Din enumerarea ADS RIGHÎS ENUM Const ADS RIGHT GENERIC ALL - &hl * o "'h-tishіlіshshsha ȚT Ițit un "Ifir If "j fl " îl I" "" And iJ or nu" ifltflt ' Creați o listă de control al accesului (ACL) "OYOASHUYSHD " a " a WR yuppies și "l și n și eu dacă iiГfi l și r; y p li și n / r set obJSD - objZone GetC'ntSecurityDescriptor") set objDACL - objSD DiscretionaryAcl ' Acces complet set objACEl - CreateObjectCAccessControlEntry") objACEl Trustee - strUserOrGroup objACEl AccessMask - ADS RIGHT GENERIC ALL objACEl AceFlags - objACEl FIags - AOS FLAG OBJECT TYPE PRESENT objACEl AceType - ADS^ACETYPE ACCESS ALLOWED OBJECT objDACL AddAce objACEl L L if ff LіGL un LIGp un Ir Ir și ff, pTPHp iHrN " ir * Setați lista de control al accesului (ACL) ' SAU GBP" ! iii" INLM r іg I, ' іg i, r ' ,P I și i/ |-| 'і н i н dacă f - și i LV G objSD scretlonaryAcl - objDACL objZone Pune "ntSecumtyDescrlptor" objSD objZone SetInfo WScrlpt Echo "Control delegat al " & strZoneDN & " către " & strUserOrGroup Un comentariu În mod implicit, membrii grupului ONSAdml ns (Administratori DNS) au control deplin asupra serverului DNS și a configurației zonei Este posibil să delegați controlul zonelor individuale integrate în AD altor utilizatori sau grupuri prin modificarea permisiunilor serviciului de director pentru obiectul care reprezintă zona Soluțiile de mai sus arată cum să acordați unui utilizator sau unui grup permisiunea Ful Control (Control total) de a opera într-o anumită zonă Vezi si Document MS KB (Nu se poate împiedica administratorul zonei DNS să creeze zone noi) Crearea și ștergerea înregistrărilor de resurse Problemă Înregistrările resurselor trebuie create sau șterse Capitolul Sistemul de nume de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă numele serverului nu apare în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Conectare la serverul DNS din meniul contextual În fereastra care se deschide, setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), specificați, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK În panoul din stânga, deschideți containerul serverului de care sunteți interesat și, în acesta, containerul Zonele de căutare înainte sau Zonele de căutare inversă, în funcție de înregistrările de zonă cu care doriți să lucrați Creați o înregistrare de resursă efectuând următorii pași în succesiune: în panoul din stânga, faceți clic dreapta pe numele zonei, selectați comanda corespunzătoare tipului de înregistrare creată din meniul contextual, de exemplu, Gazdă nouă (A ) (Gazdă nouă (A)), completați câmpurile obligatorii și faceți clic pe butonul OK Dacă înregistrarea resursei trebuie să fie ștearsă, urmați acești pași: în panoul din stânga, faceți clic pe numele zonei în care se află înregistrările, în panoul din dreapta, faceți clic dreapta pe înregistrarea pe care doriți să o ștergeți, selectați comanda Ștergere din meniul contextual și confirmați necesitatea acestei operațiuni făcând clic pe butonul Da Folosind interfața liniei de comandă Pentru a adăuga o intrare de resursă, executați următoarea comandă: > dnscmd /recordadd De exemplu, această comandă adaugă o înregistrare de tip A în zona rallencorp com: > dnscmd dcl /recordadd rallencorp com winsOl A Dacă trebuie să ștergeți înregistrările de resurse, utilizați următoarea comandă: > dnscmd /recorddelete De exemplu, următoarea comandă elimină o intrare de tip A din zona ral encorp fagure: > dnscmd dcl /recorddelete rallencorp com winsOl A Folosind un script VBScript Codul arată cum se utilizează furnizorul DNS lM adăugați la zona de înregistrare tip A și PTR ' - CONFIGURARE SCRIPT - strForwardRRAdd ""test-xp rallencorp com ÎN A " strReverseRRAdd - " in-addr arpa IN PTR test-xp rallencorp com" strForwardDomain - "rallencorp com'' strReverseDomain - " in-addr arpa" Crearea și ștergerea înregistrărilor de resurse ' - TERMINAREA CONFIGURĂRII - set objDNS - GetObject("winMgmts:root\MicrosoftDNS") set objRR - objDNS Get ("MicrosoftDNS ResourceRecord") set objDNSServer - objDNS Get("MicrosoftDNS Server Name-"" ) ' Creați o înregistrare de tip A strNull - objRR CreateInstanceFromTextRepresentation( objDNSServer Name strForwardDomaln, strForwardRRAdd, objOutParam) set objRR - objDNS Get(objOutParam) WScript Echo "Înregistrare creată" și objRR TextRepresentation ' Creați o înregistrare PTR strNull - objRR CreateInstanceFromTextRepresentat on( objDNSServer Name, strReverseDomain strReverseRRAdd objOutParam) set objRR - objDNS Get(objOutParam) WScrlpt Echo "Înregistrare creată" și objRR TextRepresentatlon Acest cod arată cum să eliminați înregistrările de tip A și PTR din zonă, * creat în exemplul anterior strHostName - "test-xp rallencorp com" set objDNS - GetObject("w nMgmts:root\M crosoftDNS") set objDNSServer - objDNS Get("M crosoftDNS Server Name-"" """) set objRRs - objDNS ExecQueryC select * " & " de la MicrosoftDNS ResourceRecord " & " unde OwnerName - """ & strHostName & """" & " Sau RecordData - ",, și & strHostName & f objRRs Număr cu tipul de înregistrări de resurse pe care le căutați (de exemplu, A, CNAME sau SRV) și cu numele sau adresa IP a înregistrărilor pe care le căutați: > nslookup -i ure- Modificarea configurației serverului DNS Folosind un script VBScript ' Acest cod scoate înregistrări de resurse cu numele specificat ' CONFIGURARE SCRIPT strQuery - " Utilitarul nslookup poate fi, de asemenea, rulat interactiv prin tastarea numelui său fără parametri pe linia de comandă Către o soluție VBScript Scriptul în acest limbaj folosește o interogare WQL pentru a găsi înregistrări Acest exemplu arată cât de puternic este furnizorul DNS WMI Solicitarea conține o condiție de selecție pentru obiectele clasei MicrosoftDNS ResourceRecord în care atributul OwnerName, DomainName sau RecordData conține valoarea Dacă serverul acceptă mai multe zone mari, această interogare va dura prea mult În astfel de cazuri, domeniul de aplicare al căutării poate fi limitat la un anumit tip de înregistrare prin adăugarea condiției RecordType = Vezi si Document MSDN: MicrosoftDNS ResourceRecord Modificarea configurației serverului DNS Problemă Trebuie să modificați setările serverului DNS Capitolul Sistemul de nume de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă numele serverului nu apare în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Connectto DNS Server din meniul de comenzi rapide În fereastra care se deschide, selectați fie Acest computer (acest computer) fie Următorul computer (alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK Faceți clic dreapta pe numele serverului și selectați Proprietăți din meniul contextual care se deschide Parametrii serverului sunt setati pe mai multe file Editați-le și faceți clic pe OK pentru a salva modificările Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele parametrului a cărui valoare doriți să o modificați și cu noua sa valoare: > dnscmd /config / Folosind un script VBScript set objDNS - GetObject("w nMgmts:root\M crosoftDNS") set objDNSServer - objDNS Get("M crosoftDNS Server Name-" objDNSServer - ' De exemplu: objDNSServer AHowPujDNSS - TRUEPujDNSSer Un comentariu Multe opțiuni sunt definite pentru configurarea serverelor DNS într-un mediu Microsoft În snap-in-ul DNS, acestea sunt setate pe mai multe file din fereastra cu proprietățile serverului Pentru o listă completă, rulați dnscmd /conpd din linia de comandă În soluțiile de linie de comandă și VBScript, aproape toate numele de proprietate sunt aceleași Dacă faceți modificări folosind un script, asigurați-vă că apelați metoda Put pentru a le salva Vezi si Document MSDN: MicrosoftDNS Server Efectuați curățarea pentru a elimina înregistrările vechi de resurse Problemă Doriți să ștergeți înregistrările vechi de resurse Serviciul DNS menține o procedură specială numită scavenging sau garbage collection, prin care efectuarea de curățare pentru a elimina vechile înregistrări de resurse J/ șterge toate înregistrările de resurse care nu au fost actualizate în timpul specificat Acest lucru se aplică de obicei numai intrărilor adăugate prin DDNS, dar puteți elimina și intrările adăugate manual, așa-numitele intrări statice Este recomandat să curățați periodic zonele DNS, deoarece acestea nu ar trebui să conțină intrări neutilizate Soluţie Următoarele arată cum să activați colectarea automată a gunoiului pentru toate zonele integrate în Active Directory Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Dacă numele serverului nu apare în panoul din stânga al consolei, faceți clic dreapta pe intrarea DNS și selectați Connectto DNS Server din meniul de comenzi rapide În fereastra care se deschide, setați comutatorul la Acest computer (acest computer) sau Următorul computer (un alt computer), introduceți, dacă este necesar, numele serverului la care doriți să vă conectați și faceți clic pe butonul OK Faceți clic dreapta pe numele serverului și selectați Set Aging/Scavenging pentru toate zonele din meniul contextual Bifați caseta de selectare Scoatere înregistrări de resurse învechite Ajustați parametrii No-Refresh (interval de blocare) și Refresh (interval de actualizare) și faceți clic pe butonul OK Pentru a confirma setările, bifați caseta de selectare Aplicați aceste setări zonelor existente integrate în Active Directory și faceți clic pe OK Faceți clic dreapta pe numele serverului și selectați Proprietăți din meniul contextual Faceți clic pe fila Avansat și bifați caseta de selectare EpaIye automat scavenging of stade resource records Setați o perioadă adecvată de curățare Faceţi clic pe butonul OK Folosind interfața liniei de comandă > dnscmd /config /ScavengingInterval > dnscmd /config /DefaultAgingState > dnscmd /config /DefaultNoRefreshlnterval > dnscmd /config /DefaultRefreshlnterval > dnscmd /config AllZones /aging B Capitolul Sistemul de nume de domeniu Folosind un script VBScript * Acest cod permite curățarea automată pentru toate zonele ' integrat cu Active Directory • - CONFIGURARE SCRIPT strServer = " '' intScavengingInterval - intNoRefreshlnterval ■ intRefreshlnterval = ■ - Configurare ENO - set objDNS - GetObjectC"winMgmts:\\" & strServer & ''\root\MicrosoftDNS") set objDNSServer - objDNS Get ("MicrosoftDNS Server Name-"" objDNSServer ScavengingInterval - intScavengingInterval objDNSServer DefaultNoRefreshlnterval - intNoRefreshlnterval objDNSServer DefaultRefreshlnterval - intRefreshlnterval objDNSServer DefaultAgingState - TRUE objDNSServer Put WScript Echo "Setări configurate pentru eliminarea serverului" set objZones ° objDNS ExecQueryCSelect * frcm HicrosoftDNS Zone " & "Unde DnsServerName *•*"& objDNSServer Name && "Și Dslntegrated - TRUE") WScrlpt Echo "Configurarea zonelor integrate în AD:" pentru fiecare objZone din objZones WScrlpt Echo " " & objZone Nane & " AICI: " & objZone Aging objZone Aging = objZone Put Următorul Un comentariu Înainte de a activa curățarea automată, trebuie verificate setările următoarelor patru elemente Amintiți-vă că setarea incorectă a acestei funcții poate duce la ștergerea înregistrărilor necesare, așa că ar trebui să o utilizați cu mare atenție Primul parametru pe care trebuie să-l configurați este Scavenging-Interval (perioada de scavenging) - intervalul de timp dintre începerea a două proceduri succesive de scavenging În mod implicit, curățarea automată este dezactivată Dacă este activat, acestui parametru i se va atribui o valoare corespunzătoare la de ore, adică zile Al doilea parametru, DefaultAgingState, specifică setările automate de îmbătrânire pentru zonele noi Dacă doriți ca curățarea automată să fie activată pentru toate zonele pe care le creați, setați acest parametru la Următorii doi parametri controlează procesul de curățare Parametrul DefaultNoRefreshlnterval (interval de blocare) determină cât de des pot fi actualizate înregistrările procesate dinamic Utilizați această setare dacă doriți să reduceți frecvența cu care serverul DNS actualizează data și ora din înregistrarea resurselor Valoarea implicită pentru acest parametru este, de asemenea, de ore ( zile) Cu alte cuvinte, după actualizarea dinamică a unei înregistrări de resurse, serverul nu va actualiza aceeași înregistrare în următoarele zile ștergerea cache-ului DNb Cu toate acestea, dacă adresa IP sau orice alte date de înregistrare sunt modificate, serverul va accepta modificarea Parametrul DefaultRefreshlnterval (interval de reîmprospătare) setează timpul de după încheierea intervalului DefaultNoRefreshlnterval, după care o înregistrare care nu a fost actualizată va fi considerată învechită În mod implicit, valoarea acestui parametru este de de ore ( zile) Dacă parametrii DefaultRefreshlnterval și DefaultNoRefreshlnterval conțin valori implicite, intrarea actualizată dinamic nu este considerată învechită timp de zile de la ultima actualizare În practică, poate dura chiar și de zile pentru ca o intrare să fie ștearsă dacă intrarea nu s-a schimbat de la ultima curățare: zile (DefaultNoRefreshlnterval) plus zile (DefaultRefreshlnterval) plus zile (curățare) Golirea memoriei cache DNS Problemă Cache-ul DNS trebuie golit Acest cache conține înregistrări de resurse care sunt stocate în cache în memorie pentru o anumită perioadă de timp, făcând accesele repetate mai rapide Există două tipuri de cache DNS Unul este folosit de procesul de rezolvare pe computerul client Windows (server sau stație de lucru), iar celălalt este folosit de serverul DNS Soluţie Pentru a șterge memoria cache a clientului din procesul de rezolvare, executați următoarea comandă: > ipconfig /flushdns Ștergerea cache-ului serverului DNS se face folosind una dintre metodele descrise mai jos Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DNS Faceți clic dreapta pe intrarea DNS din panoul din stânga și selectați Conectare la serverul DNS din meniul de comenzi rapide Introduceți numele serverului la care doriți să vă conectați și apăsați tasta Enter Faceți clic dreapta pe numele serverului și selectați Ciear Cache Folosind interfața liniei de comandă Următoarea comandă șterge memoria cache de pe serverul (dacă nu specificați , va șterge memoria cache a serverului local): > dnscmd /clearcache Folosind un script VBScript ' Acest cod șterge cssh-ul serverului DNS dat ' CONFIGURARE SCRIPT Capitolul Sistemul de nume de domeniu strServer = ' ' ' De exemplu: dcl ral encorp ccm - TERMINAREA CONFIGURĂRII set objDNS = GetObjectCwînmgints^V & strServer & "\root\MicrosoftDNS'') set objONSServer - objDNS Get ("M crosoftDNS Server Name-"* ) set objDNSCache = objDNS Get("MicrosoftDNS Cache ContainerName-"" Cache""" & ■ OnsServerNarre-*""' & objDNSServer Name & """ Name="H Cache""" ) objDNSCache CIearCache WScript Echo "Ștergerea memoriei cache a serverului" Un comentariu Când o aplicație (cum ar fi utilitarul nslookup) trebuie să caute informații DNS, apelează procesul local de rezolvare, care este responsabil pentru conversia numelor DNS în adrese IP și adreselor IP în nume DNS, iar acest proces apelează serverul DNS la distanță Pentru a accelera recăutarea aceleiași informații, procesul de rezoluție ver stochează rezultatele în memoria cache locală Serverele Microsoft DNS au, de asemenea, propriul cache, unde interogările DNS primite de la clienți și rezultatele acestora sunt înregistrate Conținutul său poate fi vizualizat folosind snap-in-ul DNS prin deschiderea containerului serverului de care sunteți interesat și în acesta containerul Căutări în cache (Căutări în cache) În mod implicit, acest container nu este afișat - pentru a-l afișa, selectați comanda Avansat din meniul Vizualizare Din ambele cache, server și client, intrările sunt șterse după expirarea timpului specificat în parametrul TTL (Time To Live - time to live) Verificați dacă un controler de domeniu poate înregistra înregistrări de resurse Problemă Doriți să verificați dacă serviciul DNS este configurat corect și că controlerul de domeniu își poate înregistra înregistrările de resurse necesare clienților pentru a căuta serviciile Active Directory Soluția Folosind interfața liniei de comandă În următoarea comandă, înlocuiți identificatorul DNS dcl cu numele domeniului căruia îi aparține controlerul de domeniu specificat Această comandă trebuie să fie rulată pe controlerul de domeniu care este verificat > dcdiag /test RegisterinDNS /DnsDomain:dcl Începe testul - RegisterInDNS * i Acest tip de verificare poate fi efectuat numai folosind utilitarul dcdi ad pentru Windows Server Verificați că un controler de domeniu poate înregistra înregistrări de resurse Configurația DNS este suficientă pentru a permite acestui controler de domeniu să înregistreze în mod dinamic înregistrările de localizare a controlerului de domeniu în DNS Configurația DNS este suficientă pentru a permite acestui computer să înregistreze în mod dinamic înregistrarea A corespunzătoare numelui său DNS dcl a trecut testul RegisterInDNS Un comentariu În mod implicit, controlorii de domeniu înregistrează în mod dinamic înregistrările de resurse care permit altor controlere de domeniu și clienți să găsească servicii care rulează pe acel controler de domeniu Ei fac acest lucru folosind protocolul de actualizare Dynamic DNS (DDNS) Dynamic DNS, deoarece înregistrarea manuală a tuturor înregistrărilor necesare este prea complicată În Windows Server , comanda dcdiag este utilizată cu cheia Regi sterInDNS pentru a verifica dacă un controler de domeniu își poate înregistra propriile înregistrări Soluția de mai sus arată rezultatul acestei comenzi dacă verificarea reușește Dacă se găsesc erori, va afișa următoarele: Testul de pornire: RegisterInDNS Acest controler de domeniu nu poate înregistra înregistrările DNS ale locatorului de controler de domeniu Acest lucru se datorează faptului că fie serverul DNS cu adresă IP nu acceptă actualizări dinamice sau zona rallencorp com este configurată pentru a preveni actualizările dinamice Pentru ca acest controler de domeniu să fie localizat de alți membri ai domeniului și controlere de domeniu, înregistrările DNS ale locatorului de controler de domeniu trebuie adăugate la DNS Aveți următoarele opțiuni Configurați zona rallencorp com și serverul DNS cu adresa IP pentru a permite actualizări dinamice s-ar putea să fie nevoie să-l actualizezi Migrați zona rallencorp com la un server DNS care acceptă actualizări dinamice (de exemplu, un server DNS Windows ) Delegați zonele msdcs rallencorp com sites rallencorp com, tcp rallencorp com și udp rallencorp com către un server DNS care acceptă actualizări dinamice (de exemplu, un server DNS Windows ): sau Adăugați manual înregistrările DNS specificate în systemroot\system \config\netlogon dns fi e DcDiag nu poate ajunge la un rezultat concludent deoarece nu poate interpreta următorul mesaj care a fost returnat: dcl a eșuat testul RegisterInDNS După cum puteți vedea, în funcție de situația specifică, sunt oferite mai multe soluții la problemă Capitolul Sistemul de nume de domeniu Înregistrarea înregistrărilor de resurse ale controlerului de domeniu Problemă Înregistrarea înregistrărilor de resurse controler de domeniu trebuie să fie inițiată Necesitatea acestei operațiuni poate apărea dacă efectuați anumite modificări de configurare pe serverele DNS Soluţie Folosind interfața liniei de comandă > nltest /dsregdns /server: Un comentariu Pe Windows Server , puteți rula comanda nltest cu comutatorul /dsregdns pentru a începe înregistrarea înregistrărilor de resurse controler de domeniu Aceeași operațiune poate fi efectuată prin rularea serviciului NetLogon pe controler, care încearcă să înregistreze automat înregistrările de resurse ale controlerului de domeniu în fiecare oră, astfel încât dacă timpul se scurge, comanda nltest poate fi omisă Vezi si Rețeta vă spune cum să verificați dacă un controler de domeniu își poate înregistra înregistrările de resurse Dezactivați înregistrarea dinamică a înregistrărilor de resurse de către un controler de domeniu Problemă Doriți să împiedicați un controler de domeniu să înregistreze în mod dinamic înregistrările de resurse utilizând protocolul DDNS Dacă înregistrați manual înregistrările de resurse pentru un controler de domeniu, atunci în mod firesc doriți să îl împiedicați să facă acest lucru în mod dinamic (în caz contrar, veți primi periodic mesaje de eroare DDNS, care vă anunță că următoarea operațiune de actualizare a eșuat) Soluţie Folosind interfața liniei de comandă > reg add HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /vod UtilizațiDynamicDNS /t REGJWORD /d Dezactivarea înregistrării dinamice a înregistrărilor de resurse Operațiunea a fost încheiată cu succes >net stop netlogon Serviciul Net Logon se oprește Serviciul Net Logon a fost oprit cu succes > del ÎSystemRoot^\system \config\netlogor dnb > net start netlogon Serviciul de conectare la net pornește Serviciul Net Logon a pornit cu succes Folosind un script VBScript 'Acest cod dezactivarea înregistrării dinamice a înregistrărilor de resurse de către un controler de domeniu ' trebuie efectuată direct pe controlerul dat * Adăugarea unui parametru la registru const HKLM - &Н set oReg-GetObject("winmgmts:root\default:StdRegProv") strKeyPath - ''System\CurrentControlSet\Services\Netlogon\Paraineters' dacă oReg SetDWORDValue(HKLM strKeyPath "UseDynamicDNS" ) <> atunci WScrlpt Echo "Eroare la crearea valorii de registry" altfel WScript Echo "Valoarea de registry creată cu succes" sfârşitul dacă ' Opriți serviciul Netlogon strService - "Netlogon" set objService - Get bject("WinMgmts:root/cimv :Win Service Name-"' & strService & ) dacă objService StopService o atunci WScrlpt Echo "Eroare la oprire" și strService și "serviciu" altfel WScrlpt Echo "Oprit" și strService și "serviciu cu succes" se termină dacă ' Se șterge fișierul netlogon dnb setați WshShell - CreateObjectC "WScript Shell") set objFSO "CreateObject("Scripting FileSysten£bject") set objFile - objFSO GetFile( WshShel ExpandEnvironmentStr ngs("SSystemRootX") & "\system \config\netlogon dnb" ) objFile Delete WScrlpt Echo "Șters netlogon dnb cu succes" "Porniți serviciul Netlogon dacă objService StartService <> atunci WScrlpt Echo "Eroare la pornire" și strService și "serviciu" altfel WScrlpt Echo "Pornit" & strService & "serviciu cu succes" se termină dacă WScrlpt Echo WScript Echo "Terminat" Capitolul Sistemul de nume de domeniu Un comentariu În mod implicit, controlorii de domeniu încearcă să înregistreze în mod dinamic înregistrările de resurse asociate cu Active Directory în fiecare oră folosind serviciul NetLogon Această înregistrare poate fi dezactivată setând parametrul UseDynamicDNS, care este stocat în registrul de sistem sub HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters, la După aceea, opriți serviciul NetLogon, ștergeți fișierul %SystemRoot%\system \config\netlogon dnb, apoi porniți din nou serviciul Fișierul netlogon dnb trebuie șters deoarece conține un cache de înregistrări de resurse actualizate dinamic Când este repornit, serviciul NetLogon îl va crea din nou Vezi si Rețeta descrie cum puteți preveni înregistrarea dinamică a înregistrărilor individuale de resurse Examinați MS KB (Cum să preveniți controlerele de domeniu din DNS Namcs din registru dinamic) și MS KB (Cum să activați/dezactivați înregistrările DNS dinamice Windows ) Interziceți înregistrarea dinamică a anumitor tipuri de înregistrări de resurse Problemă Doriți să împiedicați un controler de domeniu să înregistreze în mod dinamic înregistrările de resurse de anumite tipuri Această interdicție selectivă poate fi utilă, în special, dacă trebuie să reduceți sarcina pe emulatorul PDC - în acest caz, puteți împiedica publicarea unora dintre înregistrările sale SRV, datorită cărora traficul dintre server și clienți va fi vizibil scădea Soluţie Folosind interfața liniei de comandă Următoarele arată cum să împiedicați un controler de domeniu să înregistreze înregistrări de resurse de tip Ldap, Gc și GcIpAddress: > reg add HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v d DnsAvoidRegisterRecords /t REG MULTI SZ /d Ldap\OGc\OGcIpAddre$$ Operațiunea a fost încheiată cu succes >net stop netlogon Serviciul Net Logon se oprește Serviciul Net Logon a fost oprit cu succes > del XSystemRootfc\system \config\netlogon dnb > net start netlogon Serviciul Net Logon pornește Serviciul Net Logon a pornit cu succes Folosind un script VBScript "Acest cod împiedică controlerul donen să înregistreze înregistrări de resurse" de tip Ldap ' Gc și GcIpAddress Trebuie să fie executat direct pe controller-ul donen ' Adăugarea unui parametru la registry const HKLM - &Н set objReg - GetObject("winmgmts:root\default StdRegProv") strKeyPath - "System\CurrentControlSet\Services\Netlogon\Parameters" ' Preveniți înregistrarea intrărilor Ldap, Gc și GCIpAddress arrValues - ArrayC'Ldap" "Gc" "GcIpAddress* ) dacă objReg SetMultiStringValue(HKLM,strKeyPath,"DnsAvoidRegisterRecords" arrValues) o atunci WScrlpt Echo "Eroare la crearea valorii de registry" altfel WScrlpt Echo "Valoarea de registry creată cu succes" sfârşitul dacă ' Opriți serviciul Netlogon strService - "Netlogon" set objService - Get bject("W nMgmts root/c mv :W n Servi ce Nume-"' & strService & ) dacă objService StopServIce o , atunci WScrlpt Echo "Eroare la oprirea '' & strService & " service" altfel WScript Echo "Oprit" și serviciul strService și *' cu succes" sfârşitul dacă ' Se șterge fișierul netlogon dnb La eroare Reluați Următorul set WshShell = CreateObject("WScript Shell") set objFSO - CreateObject("Scripting FileSystefnObject") set objFile - objFSO GetFile( WshShell ExpandEnvironmentStrings("fcsystemrooW) & "\system \config\net ogon dnb") objFile Delete dacă (ErrNumber <> ) atunci WScrlpt Echo "Eroare la ștergerea netlogon dnb" și Err Description altfel WScrlpt Echo "Șters netlogon dnb cu succes" sfârşitul dacă "Porniți serviciul Netlogon f objService StartService o atunci WScrlpt Echo "Eroare la pornire" și strService și "serviciu" el se WScript Echo "Pornit " & strService & " serviciu cu succes" sfârşitul f WScrlpt Echo Ecou WScript "Terminat" Un comentariu Procedura de dezactivare a înregistrării anumitor tipuri de înregistrări de resurse este foarte asemănătoare cu procedura descrisă în Rețeta - pentru a dezactiva înregistrarea automată a tuturor înregistrărilor de resurse de către controlerul de domeniu Diferă doar prin numele parametrului adăugat la cheia HKEY LOCAL MACHINE\System\ CurrentControlSet\Services\Netlogon\Parameters a registrului de sistem; se numește DnsAvondRegisterRecords Acest parametru este de tip REG MULTI SZ (cu mai multe șiruri) și trebuie să conțină o listă separată de spațiu de mnemonici de tip înregistrări de resurse O listă completă a mnemotecilor acceptate este dată în tabel Tabelul Mnemonice pentru tipurile de înregistrări de resurse Mnemonic de registru Tip înregistrare resursă Nume înregistrare resursă LdapIpAddress A -inya roman> Ldap SRV ldap tcp /]amenda> LdapAtSite SRV ldap tcp sites Pdc SRV ldap tcp pdc jnsdcs Gc SRV ldap tcp gc jnsdcs GcAtSIte SRV dap tcp s tes gc jnsdcs, DcByGuId SRV ldap tcp domenii jnsdcs om -nmya lesd> GcIpAddress A gc jnsocs, DsaCname CNAME jnsdcs Kdc SRV kerberos tcp dc jnsdcs KdcAtSite SRV kerberos tcp dc jnsdcs tes dc srv ldap tcp dc jnsdcs ONS-romeiananame> DcAtSite SRV ldap tcp sl tes DC jnsdcs okz-ronename> Rfcl Kdc SRV kerberos tcp Rfcl KdcAtSite SRV kerberos tcp ONS-romename> GenericGc SRV gc tcp GenerlcGcAtSite SRV gc tcp s i tes Rfcl UdpKdc SRV kerberos udp Rfcl CKpwd SRV kpasswd tcp Rfcl UdpKpwd SRV kpasswd udp Vezi si Rețeta vă spune cum să dezactivați înregistrarea automată a tuturor înregistrărilor de resurse de către un controler de domeniu De asemenea, consultați MS KB (Cum să activați/dezactivați rațiile de înregistrare DNS dinamice Windows ) și MS KB (Probleme cu multe controlere de domeniu cu zone DNS integrate Active Directory) Ștergerea înregistrărilor de resurse controler de domeniu Problemă Trebuie să eliminați manual înregistrările de resurse înregistrate de un anumit controler de domeniu Soluţie Folosind interfața liniei de comandă În următoarea comandă, înlocuiți cu numele complet distinct al controlerului de domeniu și cu numele complet distinct al domeniului căruia îi aparține: > nltest /dzderegdns: /sjt- Un comentariu Când un controler de domeniu este eliminat din domeniu sau retrogradat la un rol de server membru, acesta își șterge automat înregistrările de resurse Astfel, controlerul de domeniu vă scutește de a fi nevoit să o faceți manual sau să așteptați ca înregistrările să fie șterse automat la următoarea curățare Cu toate acestea, dacă un controler de domeniu scade, va trebui fie să-i ștergeți singur înregistrările de resurse, fie să așteptați până când este curățat Le puteți elimina fie pe rând, folosind snap-in-ul DNS sau utilitarul dnscmd exe, fie folosind comanda nltest, ca în soluția de mai sus Împreună cu comutatorul /dsderegdns, puteți utiliza și comutatoarele /DomGUID și /DsaGUID, care vă permit să ștergeți intrări bazate pe GUID-ul domeniului sau GUID-ul programului DSA (Directory System Agent) Cu toate acestea, pentru a utiliza aceste chei, trebuie să cunoașteți GUID-ul domeniului și controlerul acestuia, astfel încât s-ar putea să vă fie mai convenabil să apelați snap-in-ul DNS Utilizarea numelor de computer cu un sufix de domeniu altul decât numele de domeniu Active Directory Problemă Doriți să permiteți numelor computerelor să utilizeze un sufix de domeniu, altul decât numele de domeniu Active Directory Soluţie NOTĂ - - Această rețetă se aplică numai domeniilor Windows Server Secțiunea de comentarii descrie o soluție pentru Windows I lszoa i k-HJuiciia disppoil nncn Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Conectați-vă la domeniul dorit Faceți clic dreapta pe obiectul domainDNS și selectați Proprietăți din meniul contextual care se deschide Editați valoarea atributului msDS-Al lowedDNSSuffixes, adică introduceți un nou sufix DNS și faceți clic pe OK Folosind interfața liniei de comandă Creați un fișier LDIF numit add dns suffix ldf cu următorul conținut: dn: tip de modificare: modificare adăugare: msDS-AllowedDNSSuffixes msDS-Al owedDNSSuff xes: Apoi rulați această comandă: > Idifde -v - -f add dns suff x ldf ldf Folosind un script VBScript ' Acest cod adaugă un nou sufix pe care clienții îl pot folosi - CONFIGURARE SCRIPT strDNSSuffix - " " De exemplu: othercorp com strDomain - "ONS-name o iend>" ' De exemplu: amer rallencorp com ' -TERMINARE CONFIGURARE - set objRootDSE - GetObjectCLDAP://" & strDomain & "/RootDSE") set objDomain - GetObject!"LDAP://" & objRootDSE GetCdefaultNamingContext") ) objDomain Put "msDS-AllowedDNSSuffixes" strDNSSuffix objDomain WScrlpt Echo "S-a adăugat " & strDNSSuffix & " la lista de sufixe " Un comentariu În Windows , Windows XP și Windows Server , atributele dNSHostName și servi cePrincipal Name ale unui obiect computer conțin numele gazdă atribuit computerului reprezentat de acest obiect În mod implicit, atributele specificate pot stoca numai nume în care sufixul DNS se potrivește cu numele domeniului căruia îi aparține computerul Dacă sufixul DNS al computerului nu se potrivește cu numele de domeniu Active Directory, controlerul de domeniu unde clientul încearcă să actualizeze obiectul computerului înregistrează evenimentele și în jurnalul de evenimente System Se raportează că atributele dNSHostName și servicePrincipalName nu pot fi actualizate deoarece a fost specificat un sufix de domeniu nevalid Pentru a activa această actualizare, în Windows Server , puteți adăuga un sufix la atributul msDS-AllowedDNSSuffixes al unui obiect care reprezintă un domeniu (de exemplu, dc-ral encorp dc=com) pentru a fi utilizat în numele computerelor iz i/ folosind un sufix de domeniu în numele computerelor În Windows , singura soluție, de fapt, este de a acorda utilizatorului Seif acces de scriere la atributele dNSHostName și servicePrincipalName ale obiectului computer Iată cum se face Deschideți ADSI Edit Faceți clic dreapta pe numele domeniului și selectați Proprietăți din meniul contextual care se deschide Deschideți fila Securitate și faceți clic pe butonul Adăugare Introduceți Sel f ca nume de obiect și faceți clic pe OK Faceți clic pe butonul Avansat În coloana Nume, faceți dublu clic pe intrarea SELF Deschideți fila Proprietăți și în câmpul Aplicați pe, selectați Obiecte computer În zona Permisiuni, bifați caseta de validare Permite pentru a acorda permisiuni Write dNSHostName și Write * servIcePrincipalName (Creați servicePrincipalName) Închideți toate casetele de dialog deschise făcând clic pe butonul OK Vezi si Document MS KB (Erori de înregistrare DNS și când domeniul DNS și numele domeniului Active Directory diferă) L Protecție pg și autentificare Introducere În Windows , instalările implicite Active Directory nu oferă, din păcate, nivelul necesar de protecție În special, sunt permise solicitări anonime, care consumă de obicei o cantitate semnificativă de resurse de calcul și nu există cerințe pentru criptarea și semnarea traficului între clienți și controlorii de domeniu Din acest motiv, numele de utilizator, parolele și rezultatele căutării sunt adesea transmise necriptate prin rețea În Windows Server , aceste deficiențe au fost remediate În plus, acest sistem de operare acceptă protocolul Transport Layer Security (TLS), care este similar cu protocolul SSL (Secure Sockets Layer), dar cu o mai mare flexibilitate și oferă criptare end-to-end a traficului dintre controlorii de domeniu și clienți Protecția fiabilă a obiectelor din Active Directory este asigurată de un mecanism bazat pe utilizarea listelor de control al accesului (Access Control List, ACL) Mai mult, dacă este necesar, puteți implementa protecție nu numai la nivel de obiect, ci și la nivelul atributelor individuale Reversul acestei posibilități a fost complicația algoritmilor de protecție O listă de control al accesului este generată pentru un obiect atunci când este creat pe baza clasei ACL implicite Permisiunile moștenite sunt adăugate la acesta, precum și permisiunile setate special pentru un anumit obiect Lista specificată este un set de elemente Access Control Entry (ACE) care definesc permisiunile acordate principalilor de securitate pentru a accesa un obiect Aceste permisiuni formează baza securității serviciului de director Acest capitol acoperă sarcini comune legate de gestionarea permisiunilor în Active Directory Pentru ca o listă de control al accesului să fie utilizată pe un obiect director, obiectul director trebuie să fie autentificat împotriva Active Directory Principalul serviciu de autentificare a rețelei folosit în acest scop în serviciul de director este Kerberos, un sistem standard dezvoltat de Massachusetts Institute of Technology Următoarele sunt soluții la unele dintre problemele asociate cu utilizarea Kerberos Activați SSL/TLS Problemă Este necesar să se permită accesul la controlerele de domeniu prin protocoale SSL/TLS, care vor permite clienților să cripteze traficul LDAP între aceștia și servere Soluţie Utilizarea interfeței grafice cu utilizatorul Din panoul de control al controlerului de domeniu, deschideți aplicația Adăugați sau eliminați programe Faceți clic pe butonul Adăugare/Eliminare componente Windows Selectați caseta de validare Servicii de certificate și faceți clic mai întâi pe butonul Da și apoi pe butonul Următorul Selectați tipul de autoritate de certificare în care ar trebui să acționeze controlerul de domeniu (dacă nu sunteți sigur de alegere, specificați CA rădăcină Enterprise (CA rădăcină Enterprise)) și faceți clic pe butonul Următorul Introduceți un nume pentru CA, selectați o perioadă de valabilitate și faceți clic pe butonul Următorul Specificați locația bazei de date și a jurnalelor de certificare și faceți clic pe butonul Următorul Faceți clic pe butonul Terminare pentru a finaliza asistentul de instalare Deschideți programul snap-in Politica de securitate pentru controlerul de domeniu Pe rând, deschideți containerele Configurație computer ► Setări Windows ► Setări securitate ► Politici cheie publică (Configurație computer ► Configurare Windows ► Setări securitate ► Politici cheie publică) Faceți clic dreapta pe intrarea Setări de solicitare automată de certificat și selectați Nou ► Solicitare automată de certificat din meniul contextual Faceți clic pe butonul Următorul Selectați elementul Domain Controller din lista Certificate Templates și faceți clic pe butonul Next Faceți clic pe butonul Terminare Faceți clic dreapta pe intrarea Setări de solicitare automată de certificat și selectați Nou ► Solicitare automată de certificat din meniul contextual Faceți clic pe butonul Următorul Selectați Computer din lista Șabloane de certificat și faceți clic pe butonul Următorul Faceți clic pe butonul Terminare I lava ich Esenţial Un comentariu După ce au primit certificate, controlorii de domeniu pot deschide porturile și Primul dintre ele, portul , este destinat comunicării prin protocolul LDAP prin SSL/TLS, iar al doilea, portul , pentru accesarea catalogului global, tot peste acestea protocoale Consultați Rețeta pentru câteva informații destul de detaliate despre cum să interogați un controler de domeniu folosind protocoalele SSL/TLȘ Vezi si Documente MS KB (CUM SE: Activarea comunicației Secure Socket Layer (SSL) prin LDAP pentru controlerele de domeniu Windows ), MS KB (Configurația autorității de certificare Windows pentru a publica certificate în Active Directory de domeniu de încredere) și MS KB (Cum pentru a activa LDAP peste SSL cu o autoritate de certificare terță parte) Criptarea traficului LDAP folosind SSL sau TLS și utilizarea semnăturilor digitale Problemă Este necesar să activați funcția de criptare a traficului LDAP utilizând protocolul SSL sau TLS, precum și modul de semnătură digitală Soluţie Utilizarea interfeței grafice cu utilizatorul Majoritatea instrumentelor GUI pentru Windows Server , Windows XP și Windows SP semnează și criptează automat traficul dintre client și server Aceste fonduri includ: Despre Active Directory Domains and Trusts (complet-in Active Directory Domains and Trusts); O Site-uri și servicii Active Directory (complet-in Site-uri și servicii Active Directory); O Schema Active Directory (complet-in Schema Active Directory); O Utilizatori și computere Active Directory (complementare Utilizatori și computere Active Directory); Despre snap-in-ul ADSI Edit; Despre Consola de gestionare a politicilor de grup (Consola de gestionare a politicilor de grup); Despre selectorul de obiecte Dacă aveți ADSI Edit, puteți specifica numărul portului care va fi utilizat pentru a vizualiza partiția Pentru a vizualiza setările de conexiune, faceți clic dreapta pe secțiune și selectați în context Criptarea traficului LDAP folosind SSL sau TLS comanda de meniu Setări În caseta de dialog care se deschide, faceți clic pe butonul Avansat și introduceți fie valoarea - în acest caz, LDAP va fi folosit peste protocolul SSL, fie valoarea - pentru a accesa catalogul global folosind SSL LDP pentru Windows Server acceptă criptarea utilizând comenzile StartTLS și StopTLS disponibile în meniul Opțiuni ► TLS În Windows , pentru a putea folosi protocolul SSL, trebuie să executați comanda Connection ► Connect (Connection ► Connect) și introduceți numărul portului - sau Folosind interfața liniei de comandă Când rulați pe computere care rulează Windows Server și Windows XP, utilitarele de linie de comandă dsadd, dsmod, dsrm, dsmove, dsget și dsquery pentru lucrul cu serviciul de director vă permit să accesați Windows SP și Windows Server Cu toate acestea, acceptă criptarea și semnarea digitală a datelor LDAP Folosind un script VBScript ' Acest cod arată cum să activați utilizarea protocolului SSL ' și modul de autentificare securizat folosind ADSI: ADS SECURE AUTHENTICATION = ADS USE SSL - set objLDAP - GetObjectCLDAP:") set objOU - objLDAP OpenDSObject ("LDAP://ou-Sales dc=rallencorp dc-com" "administratorOral encorp corn" "MyAdminPassword" ADS SECURE AUTHENTICATION + ADSJJSE SSL) WScrlpt Echo objOU Get("ou") Acest cod arată cum să activați utilizarea protocolului SSL ' și modul de autentificare securizat folosind ADO: ' Constante din enumerarea ADS AUTHENTICATION ENUM ADS SECURE AUTHENTICATION - ADS USE SSL = set objConn - CreateObjectCADODB Connection") objConn Provider = "ADsDSOObject" objConn PropertiesCUserID") = "administrator@rallencorp com" objConn Properties("Password") = "MyAdminPassword" objConn PropertiesCEncrypt Password") - Adevărat objConn Properties("ADSI Flag") - ADS SECURE AUTHENTICATION + ADS USE SSL objConn Open "Furnizor Active Directory" set objRS - objConn Execute(' ;" & "(cn-*);" &"cn;" & "un nivel") objRS MoveFirst în timp ce Nu objRS EOF Wscript Echo objRS Fields(O) Value objRS MoveNext merge încet Capitolul Securitate și autentificare Un comentariu În mod implicit, Windows Active Directory nu criptează în niciun fel datele între clienți și controlorii de domeniu prin rețea folosind majoritatea instrumentelor standard Dacă rulați Network Monitor (netmon exe) în același timp cu acest instrument și apoi efectuați o legătură normală folosind LDAP, puteți vizualiza interogările LDAP, numele de utilizator și parolele transmise prin rețea în text clar Acest lucru, desigur, prezintă un anumit pericol De aceea, în Windows Server , majoritatea instrumentelor Active Directory au început să-și cripteze și să semneze traficul Dacă alegeți să utilizați instrumentele mai sigure Windows Server pentru a vă accesa controlerele de domeniu Windows , instalați Windows SP pe controlerele de domeniu Windows XP sau Windows Server Dacă doriți să profitați de noile funcții de utilitare administrative, dar nu ați instalat încă SP , puteți dezactiva semnăturile digitale pe un computer care rulează Windows XP sau Windows Server Cu toate acestea, rețineți că acest lucru va reduce securitatea Pentru a dezactiva semnăturile digitale, setați valoarea ADsOpenObjectFlags a cheii de registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug la x Vezi si Rețeta vorbește despre utilizarea protocoalelor SSL/TLS De asemenea, consultați MS KB (Administrarea computerelor bazate pe Windows Server utilizând clienți Windows XP Professional), MS KB (Windows Domain Controllere necesită SP sau o versiune ulterioară când se utilizează instrumentele de administrare Windows Server ) și MSDN: ADS AUTHENTICATION ENUM Permiterea accesului LDAP anonim Problemă Doriți să permiteți clienților acces anonim la Active Directory utilizând LDAP În Windows , cererile anonime sunt permise în mod implicit, deși utilizarea lor este limitată În Windows Server , acestea sunt interzise, cu excepția solicitărilor împotriva obiectului RootDSE Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit În secțiunea de configurare, deschideți unul câte unul containerele cn=Services ► cn=Win-dows NT ► cn=Directory Service Permiterea accesului LDAP anonim În panoul din stânga, faceți clic dreapta pe obiectul Directory Servi și selectați Proprietăți din meniul contextual care se deschide Faceți dublu clic pe atributul dSHeuri stics și dacă valoarea acestuia nu este setată, introduceți Dacă atributul conține o valoare, modificați a șaptea cifră din atribut Faceți dublu clic pe butonul OK Folosind un script VBScript ' Acest cod activează și dezactivează cererile anonime pentru pădure • - CONFIGURARE SCRIPT - boolEnableAnonQuery - ' ■ activare Oh - interzice ' - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectC"LDAP://RootDSE") set objDS = GetObjectC "LDAP //cn= irectory Service cn-Windows NT cn=Servicii" & objRootDSE GetCconfigurationNamingContexf) ) strDSH = objDS GetCdSHeuristics") pentru i - len(strDSH) la strDSH - strDSH și " " Următorul strNewDSH = Left(strDSH ) & boolEnableAnonQuery strNewDSH - strNewDSH și RightCstrDSH len(strDSH) - ) WScript Echo " d value:" & strDSH WScrlpt Echo "Valoare nouă: " & strNewDSH dacă strDSH sau strNewDSH atunci objDS Pune "dSHeuristics" strNewDSH objDS SetInfo WScrlpt Echo "Setați cu succes modul de interogare anon la " & boolEnableAnonQuery altfel WScrlpt Echo "Modul de interogare Anon deja setat la " & boolEnableAnonQuery sfârşitul dacă Un comentariu Pentru a permite accesul anonim la Active Directory, trebuie să modificați valoarea atributului dSHeuristics al obiectului cn-Directory Service cn=Windows NT cn=Services ConfigurationON Acest atribut reprezintă mai multe opțiuni care controlează comportamentul Directorului Act ve, în special modul Last Object Access (vezi Rețeta ) Valoarea atributului dSHeuristics este o secvență de cifre, fiecare având asociat un parametru specific Astfel, pentru a permite accesul anonim, a șaptea cifră a acesteia trebuie înlocuită cu numărul În mod implicit, atributul dSHeuristics nu conține orice valoare Dacă ați activat modul de acces anonim, atunci cel mai probabil doriți să acordați utilizatorilor anonimi dreptul de a solicita anumite date de la Active Directory Pentru a face acest lucru, trebuie să oferiți utilizatorului LOGIN ANONIM acces la părțile corespunzătoare ale directorului, de la rădăcina sa la obiecte care pot Capitolul Securitate și autentificare necesar Consultați MS KB pentru a afla cum să permiteți utilizatorilor anonimi să interogheze adresele de e-mail ale obiectelor utilizatorului Vezi si Documente MS KB (Cum se configurează Active Directoiy pentru a permite interogări anonime) și MS KB (Operațiunile LDAP anonime către Active Directory sunt dezactivate pe controlerele de domeniu Windows Server ) Preveniți interogările LDAP de la anumiți clienți Problemă Doriți să împiedicați controlorii de domeniu să execute solicitări LDAP de la computere cu anumite adrese IP pentru a împiedica anumite aplicații sau computere client să acceseze Active Direction Soluţie Folosind interfața liniei de comandă Următoarea comandă adaugă adresa de rețea cu o mască de la lista de adrese IP interzise: > ntdsutil "Lista Ipdeny" conn "cu ts " q Lista IP refuzată: Adăugați *[ ] MASCA DE GRUP NOTĂ: * | D - addltlon neangajat | ştergere Lista IP refuzată: Commit [ ] MASCA DE GRUPA NOTĂ * | - adăugare neangajată | ştergere NOTĂ - - Pe Windows Server , utilitarul ntdsutil nu vă permite să efectuați această operație Un comentariu Lista adreselor IP interzise este stocată ca șir binar în atributul IDAPIPDenyList al obiectului care reprezintă politica de solicitare Pentru mai multe informații despre politica de interogare LDAP, consultați Rețeta (Capitolul ) Când este setată o astfel de listă, controlorii de domeniu care au aplicată politica de solicitare implicită nu răspund la solicitările LDAP de la clienții ale căror adrese sunt în intervalele specificate în listă ntdsutil ca mai sus și la promptul IP Deny List: introduceți Testul subcomandă x x x x, unde x x x x este adresa IP care vă interesează Utilizarea expertului pentru delegarea controlului Având o listă IP refuzată pentru politica implicită, se asigură că toți controlorii de domeniu din blocul de pădure solicită adrese în intervalul specificat urmați pașii din această rețetă Vezi si Rețeta (Capitolul ) intră în detalii despre politica de interogare LDAP De asemenea, vă recomandăm să citiți MS KB (CUM SE: Utilizați utilitarul Ntdsutil pentru a interzice accesul la adresele IP în Windows ) Utilizarea expertului pentru delegarea controlului Problemă Doriți să delegați gestionarea obiectelor Active Directory unui anumit utilizator sau grup Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul Active Directory Users and Computers sau snap-in-ul Active Directory Sites and Services (Active Director}), în funcție de tipul de obiect pentru care doriți să delegați managementul În panoul din stânga, faceți clic dreapta pe obiectul dorit și selectați comanda Delegate Control din meniul contextual care se deschide Expertul Delegare de control nu este acceptat pentru toate tipurile de obiecte Faceți clic pe butonul Următorul Faceți clic pe butonul Adaugă și selectați utilizatorii sau grupurile cărora doriți să le delegați controlul asupra obiectului Faceţi clic pe butonul Următorul Dacă doriți să delegați funcția listată în lista Delegați următoarele sarcini comune, bifați caseta de validare corespunzătoare și faceți clic pe butonul Următorul În cazul în care funcția dorită nu este în listă, selectați comanda Creare o sarcină personalizată pentru a delega, faceți clic pe butonul Următorul, specificați tipul de obiect pentru care doriți să delegați controlul, faceți din nou clic pe butonul Următorul, selectați Capitolul Securitate și autentificare permisiunile pe care doriți să le delegați și faceți clic din nou pe butonul Următorul Faceţi clic pe butonul Hnish Un comentariu Microsoft a creat expertul pentru delegarea controlului în încercarea de a facilita administratorilor Active Directory îndeplinirea sarcinii dificile și de rutină de a seta permisiunile pentru implementarea soluțiilor standard Această complexitate se datorează parțial faptului că permisiunile din Active Directory sunt definite într-o manieră foarte granulară Asistentul pentru delegarea controlului oferă o oarecare asistență administratorului, dar capacitățile sale sunt destul de modeste Setul de sarcini pe care îl specifică este prea limitat, deși vrăjitorul, așa cum subliniază Rețeta , vă permite să definiți noi sarcini O limitare este că vă permite doar să adăugați permisiuni, nu să le revocați sau să le eliminați, ceea ce necesită să utilizați editorul ACL (vezi Rețeta ) Configurarea vrăjitorului de delegare a controlului Problemă Trebuie să adăugați sarcini noi la lista Expertului de delegare a controlului sau să le eliminați pe cele existente Soluţie Deschideți fișierul inf Delegation of Control Wizard (%SystemRoot%\Inf\Deleg-wiz inf) pe computerul pentru care doriți să configurați expertul În secțiunea [DelegaționTemplates], veți vedea o linie similară cu următoarea: Templates = templatel șablonul template , template șablon șablon șablon templatefi template templateO templateii templatel templatel Adăugați un nou nume de șablon, să spunem că numele este templ atel : Șabloane - templatei, template șablon template , template șablon șablon șablon template , templateO templateii, templatel templatel templatel Apoi, mergeți la sfârșitul fișierului și adăugați o nouă secțiune la acesta care descrie șablonul pe care îl creați Secțiunile altor șabloane vă vor servi drept exemple Mai jos este formatul lor general: [ ] AppliesToClasses - Descriere - " ObjectTypes *= SCOPE] Configurarea vrăjitorului de delegare a controlului permissions for a domain action> [ ] [ ] permisiuni pentru clasa > Rețineți că trebuie să se potrivească cu numele specificat în secțiunea [DelegationTemplates]; în exemplul nostru, acesta este templatel În linia AppliesToClasses, introduceți o listă separată prin virgulă de nume afișate ale claselor LDAP cărora vrăjitorul le va delega permisiuni, caz în care puteți lansa comanda Delegate Control pentru aceste clase De exemplu, pentru ca noul șablon să fie aplicat la domenii, unități organizaționale și containere, trebuie să adăugați următoarea linie la cod: AppliesToClasses - domainDNS organizationalUnit contai peg Apoi, în linia Descriere, introduceți textul care va descrie permisiunile delegate în fereastra expertului Iată un exemplu de descriere a unui set complet de permisiuni pentru accesarea obiectelor din netOrgPerson, destinate delegarii: Descriere " "Creați, ștergeți și gestionați conturi de tip user și inetOrgPerson" În linia ObjectTypes, introduceți o listă separată prin virgulă de clase de obiecte cărora le va fi delegat controlul În exemplul nostru, acestea sunt clasele utilizator și InetOrgPerson: ObjectTypes - user inetOrgPerson În cele din urmă, determinați permisiunile care trebuie setate atunci când este selectat acest șablon Permisiunile sunt de două tipuri În [ SCOPE] setează permisiunile pentru a accesa obiectul pentru care a fost chemat vrăjitorul; acest obiect aparține uneia dintre clasele definite în linia ass Appl iesToCl Aceste permisiuni, adesea atribuite containerelor și OU-urilor, vă permit să creați, să modificați și să ștergeți obiecte copil de un anumit tip De exemplu, pentru a acorda permisiunea de a crea (CC) sau șterge (DC) obiecte de tip user și InetOrgPerson, includeți următoarea secțiune în fișier: [template SCOPE] user=CC DC și netOrgPerson=CC DC După cum puteți vedea, fiecare dintre permisiunile (de exemplu, pentru a crea obiecte copil) este reprezentată de un cod de abreviere din două litere Mai jos este o listă de coduri acceptate: Despre RP - (Read Property - pentru a citi proprietatea); Despre WP - (Write Property - pentru a scrie o proprietate); Despre SS - (Create Child - pentru a crea obiecte copil); Despre DC - (Delete Child - pentru a șterge obiectele copil); Despre GA - (Control complet - pentru a obține acces complet) Capitolul Securitate și autentificare Dacă secțiunea SCOPE nu este necesară pentru a defini permisiunile, o puteți sări peste ea Liniile de mai jos definesc permisiunile de accesare a obiectelor din clasele listate în linia ObjectTypes De exemplu, acces complet la obiectele utilizator și InetOrgPerson existente poate fi acordat după cum urmează: [templatel user] @-ga [template inetOrgPerson] @=GA Acest exemplu este foarte asemănător cu cel anterior, singura diferență fiind că identificatorul SCOPE a fost înlocuit cu numele claselor de obiecte specifice cărora li se aplică permisiunile Simbolul b indică faptul că permisiunea se aplică tuturor atributelor obiectului Pentru a defini permisiuni mai detaliate, puteți înlocui acest simbol cu numele atributului căruia i se aplică permisiunea De exemplu, următoarea specificație vă permite să acordați permisiuni de citire și scriere valorilor atributului de departament al obiectelor inetOrgPerson [templatel i netOrgPerson] departament=RP,WP De asemenea, puteți specifica permisiuni administrative utilizând specificatorul CONTROLRIGHT în loc de caracterul @ sau numele atributului și dând numele afișat LDAP al permisiunii necesare scriind valoarea atributului pwdLastSet: [templatel inetOrgPerson] CONTROLRIGHT-"Resetare parolă" pwdLastSet-RP WP Un comentariu Deci, Expertul de delegare a controlului vă permite să configurați un set de sarcini, dreptul de a efectua care poate fi acordat anumitor utilizatori Fișierul delegwiz inf editat cu setările scrise în el va trebui copiat pe toate computerele client unde sunt necesare instalații noi Acest lucru se poate face manual prin simpla copiere a acestui fișier Vezi si Utilizarea expertului pentru delegarea controlului este detaliată în Rețeta Vizualizarea listei de control al accesului unui obiect Problemă Doriți să vizualizați lista de control al accesului a unui obiect dat Vizualizarea listei de control al accesului unui obiect Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți editorul ACL pentru obiectul de interes Acest lucru se face în felul următor În snap-in-ul Active Directory Users and Computers sau în editorul ADSI Edit, găsiți obiectul, faceți clic dreapta pe el, selectați comanda Proprietăți din meniul contextual și deschideți fila Securitate din fereastra de proprietăți a obiectului Dacă utilizați snap-in-ul Active Directory Users and Computers, executați comanda Vizualizare ► Funcții avansate, altfel fila specificată nu va apărea în fereastra de proprietăți a obiectului Faceți clic pe butonul Avansat și va fi afișată o listă de elemente de control al accesului Folosind interfața liniei de comandă >"dsacls Folosind un script VBScript Codul care afișează lista de control al accesului pentru un anumit obiect este prea lung și complex, deci nu este afișat aici O puteți găsi pe site-ul cărții la http://www oreilly com/catalog/actlvedckbk/ Un comentariu Vizualizarea listei de control al accesului a unui obiect dat este una dintre sarcinile standard pe care orice administrator trebuie să le efectueze destul de des Editorul ACL vă permite să verificați permisiunile asupra obiectelor, în special cele obținute după utilizarea expertului Delegare de control Pe lângă permisiuni, această fereastră de editor listează setările de audit și specifică numele proprietarului obiectului Acesta din urmă este foarte important, întrucât dreptul de a deține un obiect presupune existența unor drepturi inalienabile de acces la acesta Editorul ACL este folosit nu numai pentru a lucra cu permisiunile Active Directory, ci oferă și permisiuni NTFS pentru accesarea fișierelor și folderelor din sistemul de fișiere Prin urmare, interfața sa ar trebui să vă fie familiară Asigurați-vă că revizuiți informațiile despre capacitățile acestui editor, disponibile în modul avansat, a cărui tranziție este efectuată prin comanda Vizualizare ► Avansat (Vizualizare ► Avansat) Lista principalilor de securitate pentru care sunt configurate permisiunile este prezentată în modul de bază, dar nu afișează toate elementele listelor de control al accesului O listă completă a acestora este dată doar în modul avansat și chiar și domeniul de aplicare al permisiunilor este reflectat, până la nivelul atributelor individuale Vezi si Rețeta vă arată cum să editați o listă de control al accesului, iar rețeta vă arată cum să auditați accesul Capitolul Securitate și autentificare Personalizarea editorului ACL Problemă Trebuie să configurați permisiunile pentru a accesa atribute care nu sunt afișate implicit în editorul ACL Soluţie Editorul ACL scoate numai un subset de atribute obiect Pentru o listă completă a acestora, faceți clic pe butonul Avansat Un atribut poate avea permisiuni de citire, scriere sau ambele asociate și fiecare poate fi setat la Permite sau Interzice Dacă atributul dorit nu este listat, editați fișierul %SystemRoot%\systern \dssec dat pe computerul pe care rulați editorul ACL În acest fișier, fiecare clasă de obiect are propria sa secțiune, începând cu numele clasei între paranteze drepte, ca în exemplul de mai jos Sub acest titlu este o listă de atribute, fiecare dintre acestea putând specifica dacă ar trebui sau nu afișată în editorul ACL Iată câteva linii inițiale ale secțiunii [utilizator]: [utilizator] aCSPolicyName admlnCounW allowedAttributes"? După cum puteți vedea, secțiunea constă dintr-o listă de atribute, fiecare urmată de un semn egal și o valoare numerică Această valoare determină dacă atributul va fi prezentat în editorul ACL Sunt permise următoarele valori: О - sunt afișate ambele permisiuni: Read Property (pentru citirea proprietății) și Write Property (pentru scrierea proprietății); O - Se afișează permisiunea Write Property (pentru a scrie o proprietate); O - Este afișată permisiunea de citire a proprietății (pentru a citi proprietatea); O - nu sunt afișate permisiuni pentru acest atribut Dacă lipsește vreun atribut din lista specificată, se folosește valoarea implicită (poate fi specificată cu simbolul @) Un comentariu Procesul de configurare a listei de atribute și permisiuni afișate în editorul ACL este similar cu procesul de configurare a vrăjitorului de delegare a controlului Odată finalizat, fișierul editat (dssec dat) trebuie de asemenea copiat pe toate computerele pe care urmează să intre în vigoare noile setări Această rețetă va fi utilă atunci când delegați permisiunea de a debloca conturi O astfel de nevoie apare adesea în organizațiile mari, iar această sarcină trebuie îndeplinită de personalul de suport tehnic, căruia nu li se acordă alte permisiuni pentru a gestiona obiectele utilizatorului Vedeți permisiunile efective pentru a accesa un obiect mint Pentru a seta permisiunea de deblocare a conturilor, în secțiunea [utilizator] a fișierului dssec dat, setați atributul lockoutTime la Vezi si Documente MS KB (Cum se modifică proprietățile filtrate ale unui obiect) și MS KB (Cum se delegă dreptul de deblocare a contului) Vedeți permisiunile efective pentru a accesa un obiect Problemă Doriți să aflați ce permisiuni are un utilizator sau un grup asupra unui anumit obiect Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți editorul ACL pentru obiectul de interes Acest lucru se face după cum urmează: În snap-in-ul Active Directory Users and Computers (Active Director}' - utilizatori și computere) sau în editorul ADSI Edit, găsiți obiectul, faceți clic dreapta pe el, selectați comanda Properties din context meniul și deschideți-l în fereastra de proprietăți fila obiect Securitate Dacă utilizați snap-in-ul Active Directory Users and Computers (Active Director}), rulați comanda View ► Advanced Features, altfel fila specificată nu va fi în proprietățile obiectului fereastră Faceți clic pe butonul Avansat Faceţi clic pe fila Permisiuni efective Faceți clic pe butonul Selectare pentru a deschide editorul de obiecte Găsiți utilizatorul sau grupul ale cărui permisiuni efective doriți să le vizualizați Rezultatele vor fi afișate ca o listă de permisiuni efective NOTĂ - Fila Permisiuni efective este disponibilă numai în editorul ACL pentru Windows Server Dacă executați Windows , utilizați comanda acidiag de mai jos Folosind interfața liniei de comandă > acidiag object id> /getef{esІіѵe: Capitolul Securitate și autentificare Un comentariu Lista de permisiuni stabilite pentru un obiect nu vă va oferi o imagine completă a drepturilor pe care le are un utilizator sau un grup, deoarece trebuie să țineți cont de permisiunile moștenite din cauza apartenenței la alte grupuri și de permisiunile moștenite care au fost setate pentru obiectele situate mai sus în arborele ierarhic Modificarea listei de control al accesului unui obiect Problemă Este necesară modificarea listei de control al accesului la obiect, dacă este necesar, acordarea sau interzicerea accesului la acesta unui anumit utilizator sau grup Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți editorul ACL pentru obiectul de interes Acest lucru se face în felul următor În snap-in-ul Active Directory Users and Computers sau în editorul ADSI Edit, găsiți obiectul dorit, faceți clic dreapta pe el, selectați comanda Proprietăți din meniul contextual și deschideți fila Securitate în fereastra cu proprietățile obiectului Dacă utilizați snap-in-ul Active Directory Users and Computers, executați comanda Vizualizare ► Funcții avansate, altfel fila specificată nu va apărea în fereastra de proprietăți a obiectului Faceți clic pe butonul Avansat pentru a afișa lista de controale de acces și pentru a efectua modificările necesare Folosind interfața liniei de comandă > dsacls Folosind un script VBScript Rețetele (Capitolul ), (Capitolul ), (Capitolul ) și (Capitolul ) arată cum puteți modifica o listă de control acces folosind VBScript Un comentariu Modificarea listei de control al accesului pentru un anumit obiect este una dintre sarcinile standard cu care este familiarizat orice administrator După cum se arată în Rețetele și , Expertul pentru delegarea controlului este destul de greoi și limitat și, în loc să-l extindă, uneori este mai ușor să setați manual permisiunile necesare Metode descrise mai sus folosind GUI și linia de comandă Modificarea listei implicite de control al accesului util în cazurile în care trebuie să modificați permisiunile individuale, dar pentru a face modificări la multe obiecte, este mai bine să scrieți un script Vezi si Vă recomandăm să citiți MS KB (Cum se utilizează Dsacls exe în Windows ) Modificarea listei implicite de control al accesului asociată cu o clasă de obiecte într-o schemă Problemă Trebuie să modificați ACL implicit asociat cu o anumită clasă de obiecte din schemă Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Schema Active Directory În panoul din stânga, localizați clasa pentru care doriți să modificați lista de control al accesului, faceți clic dreapta pe numele acesteia și selectați Proprietăți din meniul de comenzi rapide Faceţi clic pe fila Securitate implicită Utilizați editorul ACL pentru a configura o listă de control al accesului Faceţi clic pe butonul OK NOTĂ - - Fila Securitate implicită este disponibilă numai în Windows Server Pentru informații despre cum să efectuați manual această sarcină în Windows , consultați MS CV Un comentariu Fiecare obiect din Active Directory are asociat un ctass care definește, printre altele, descriptorul de securitate implicit care trebuie utilizat (atributul de-faultSecurityDescriptor) Vezi si Rețeta arată cum să comparați ACL-ul unui obiect cu ACL-ul implicit asociat cu clasa sa din schemă În Rețeta , veți învăța cum să resetați ACL-urile unui obiect la ACL-urile originale Capitolul Securitate și autentificare setările specificate în schemă De asemenea, consultați MS KB (CUM SĂ Schimbați pernusiunile implicite pentru obiectele care sunt create în Active Directory) Compararea ACL a unui obiect cu Lista de control implicită accese ale clasei sale Problemă Doriți să determinați dacă lista de control al accesului unui obiect conține permisiunile definite în schema pentru clasa sa Soluţie Folosind interfața liniei de comandă > acldlag /schema Un comentariu Consultați Rețeta pentru informații despre descriptorul de securitate implicit pentru un obiect Vezi si Rețeta vă spune cum să resetați ACL-ul unui obiect la setările originale care au fost setate în schemă Resetarea listei de control al accesului unui obiect Problemă Este necesar să resetați lista de control al accesului a obiectului, returnând valorile originale pentru Negro care au fost setate în schemă Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți editorul ACL pentru obiectul de interes Acest lucru se face după cum urmează: În snap-in-ul Active Directory Users and Computers sau în editorul ADSI Edit, găsiți obiectul dorit, faceți clic dreapta pe el, selectați comanda Properties din meniul contextual și deschideți-o în fereastra de proprietăți a obiectului Fila Securitate Instrucțiunile din această rețetă se aplică numai editorului ACL Windows Server Împiedicați stocarea hashurilor parolelor (Siguranță) Dacă utilizați snap-in-ul Active Directory Users and Computers, executați comanda Vizualizare ► Funcții avansate, altfel fila specificată nu va apărea în fereastra de proprietăți a obiectului Faceți clic pe butonul Avansat și va fi afișată o listă de elemente de control al accesului Faceți clic pe butonul Implicit Faceți dublu clic pe butonul OK Folosind interfața liniei de comandă > dsacls /s Un comentariu Consultați Rețeta pentru detalii despre descriptorii de securitate Împiedicați stocarea hashurilor parolelor Problemă Trebuie să împiedicați stocarea hash-urilor de parole compatibile cu LAN Manager în Active Directory Aceste valori hash sunt folosite doar pentru a sprijini clienții care rulează Windows și Windows și, din păcate, sunt susceptibile la hacking Soluţie Pe Windows , pentru a dezactiva stocarea hash-urilor parolei, trebuie să creați intrarea NoLMHash în cheia de registry de sistem HKLM\SYSTEM\CurrentControlSet\Control\Lsa din registrul de sistem al fiecărui controler de domeniu Nu este necesar să atribuiți o valoare acestui parametru Rețineți că această caracteristică există numai pentru controlerele de domeniu care rulează Windows SP și sistemele de operare ulterioare În Windows Server , în loc de parametrul NoLMHash, parametrul Lsa al cheii de registry HKLM\SYSTEM\CurrentControlSet\Control ar trebui setat la Pentru a face acest lucru, trebuie să modificați politica de securitate a controlerului de domeniu, care va fi discutat în continuare Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul pentru Politica de securitate a controlerului de domeniu În panoul din stânga, deschideți unul câte unul containerele Politici locale ► Opțiuni de securitate Capitolul Securitate și autentificare În panoul din dreapta, faceți dublu clic pe Securitate rețea: nu stocați valoarea hash LAN Manager la următoarea modificare a parolei Bifați caseta de selectare Definiți această setare de politică Setați comutatorul în poziția Activat Un comentariu Dacă nu există clienți Windows și Windows în domeniu, este posibil să doriți să dezactivați modul de stocare a valorii hash LAN Manager în domeniu Aceste valori sunt generate dintr-un algoritm vechi care a fost folosit înainte de Windows NT și este considerat slab în comparație cu noul algoritm NT care generează și valori hash stocate în Active Directory NOTĂ - Hashe-urile LAN Manager sunt generate numai pentru parolele care au mai puțin de caractere Vezi si Document MS KB (Cum să împiedicați Windows să stocheze un hash LAN Manager al parolei dvs în Active Directory și bazele de date SAM locale) Activarea accesului la obiecte în listă Problemă Trebuie să dezactivați modul implicit în care orice utilizator autentificat poate vizualiza conținutul Active Directory În schimb, ar trebui setat modul List Object Access, care necesită ca utilizatorii să aibă permisiuni explicite pentru a vizualiza conținutul directorului Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit În secțiunea de configurare, deschideți unul câte unul containerele cn=Services ► cn= Windows NT ► cn=Directory Service În panoul din stânga, faceți clic dreapta pe obiectul Directory Service și selectați Proprietăți din meniul contextual care apare Faceți dublu clic pe atributul dSHeuristics Activarea accesului la obiecte în listă Dacă atributul specificat este gol, setați-l la , în caz contrar setați al treilea bit la Faceți dublu clic pe butonul OK Folosind un script VBScript ' Acest cod activează și dezactivează List Object Access pentru pădure • - CONFIGURARE SCRIPT - boolEnableListObject - ' - activare - dezactivare - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObject!"LDAP://RootDSE") set objDS = GetObject! "LDAP:/ cn-Directory Service cn=Windows NT cn-Services" & objRootDSE Get("configuraționNamingContext") ) strDSH - objDS Get("dSHeuristics") dacă len(strDSH) = atunci strDSH " strDSH și " " sfârşitul dacă strNewDSH - Stânga(strDSH, ) și boolEnableListObject dacă len(strDSH) > atunci StrNewDSH - strNewDSH & Right(strDSH len(strDSH) - ) sfârşitul dacă WScript Echo "Valoare veche:" și strDSH WScript Echo "Valoare nouă: " & strNewDSH dacă strDSH sau strNewDSH atunci objDS Pune "dSHeuristies" strNewDSH objDS SetInfo WScript Echo "Setarea cu succes a modului obiect listă la " & boolEnableLi stObject else WScrlpt Echo "Modul obiect Listă deja setat la " & boolEnableListObject sfârşitul dacă Un comentariu Accesul la obiecte în listă este deosebit de util atunci când utilizatorilor trebuie să li se acorde permisiunea de a vizualiza doar un subset al obiectelor conținute într-un anumit container sau atunci când accesul la un anumit container trebuie refuzat În mod implicit, grupului de utilizatori autentificați i se acordă permisiunea List Contents pentru toate obiectele de domeniu Dacă eliminați această permisiune sau refuzați acest tip de acces la un container prin editarea ACL-ului acestuia, utilizatorii nu vor putea interoga lista de obiecte conținute în container utilizând instrumente precum Active Directory Users and Computers și ADSI Edit Dacă doriți ca utilizatorii să poată solicita o listă cu conținutul unui container, dar lista rezultată nu include anumite obiecte, setați mai întâi modul List Object Access descris mai sus și apoi eliminați permisiunea List Contents din listă Capitolul Securitate și autentificare controlul accesului containerelor După aceea, acordați această permisiune numai acelor obiecte pe care utilizatorii au voie să le vadă ATENTIE - Utilizarea modului List Object Access poate crește semnificativ costul configurarii listelor de control al accesului în Active Directory Vezi si Vă recomandăm să consultați documentul MSDN: Controlling Object Visibility and Microsoft's High-Volume Hosting Site, aflat la http /www micro-soft com/serviceproviders/deployment/hvh ad deploy asp Modificarea listei de control acces pentru administratori Problemă Doriți să modificați lista de control al accesului pentru conturile de utilizator care sunt membri ai grupurilor administrative Soluţie Folosind una dintre metodele din Rețeta , modificați lista de control al accesului a obiectului cn=A±nmSDHolder ,cn=Systems din domeniul căruia îi aparțin conturile de administrator ACL-ul acestui obiect este aplicat în fiecare oră conturilor de utilizator care aparțin unor grupuri administrative Un comentariu Dacă ați încercat vreodată să modificați lista de control al accesului pentru un cont de utilizator care a fost membru al unuia dintre grupurile administrative din Active Directory sau să modificați ACE-ul unității organizaționale care conține contul de administrator, veți constata că ACL-ul acestui contul revine la starea inițială în timp, apoi acum, probabil, înțelegeți care este problema Active Directory are o funcție Admin SD Holder cu care trebuie să lucreze mulți administratori Și deși această caracteristică provoacă o mulțime de plângeri în rândul începătorilor, de fapt, este dificil să te descurci fără ea Ore în oră, pe emulatorul PDC, un proces numit Admin SD Holder compară ACL-urile obiectului Admi nSDHol der cu ACL-urile conturilor care sunt membri ai grupurilor administrative ale domeniului Dacă găsește o diferență, suprascrie ACL-urile contului și dezactivează moştenire Dacă eliminați un utilizator din grupurile administrative, va trebui să activați permisiunile moștenite pentru utilizator și să activați moștenirea Procesul Admin SD Holder nu va face acest lucru în locul dvs Scopul procesului descris este de a preveni acțiunile nedorite ale unui utilizator căruia i-au fost delegate permisiuni de a accesa unitatea organizațională sau containerul care conține contul care face parte din Vizualizarea și ștergerea biletelor Kerberos unul sau mai multe grupuri administrative Un astfel de utilizator poate, de exemplu, să reseta parola contului și să se conecteze la domeniu, ceea ce îi va oferi posibilitatea de a face ceea ce nu avea dreptul Mai jos este o listă de grupuri care ar trebui procesate de igroprocess Admin SD Holder: O Administratori; O Operatori de cont; Despre Cert Publishers (Editorii de certificate); Despre operatorii de backup; Despre administratori de domeniu (administratori de domeniu); Despre Enterpri se Admins (Administratorii Enterprise); Despre Prinț Operators (Print Operators); Despre Administratorii Schema; Despre Operatorii Server În plus, procesul Admin SD Holder verifică separat conturile de administrator și de utilizator Krbtgt Vezi si Documente MS KB (Descrierea și actualizarea obiectului Active Directory Admin-SDHoldcr), MS KB (Obiectul AdminSDHolder afectează delegarea controlului pentru conturile de administrator trecut) și MS KB (Permisiunile delegate nu sunt disponibile și moștenirea este dezactivată automat) Vizualizarea și ștergerea biletelor Kerberos Problemă Ar trebui să revizuiți biletele Kerberos și să le eliminați dacă știți că nu mai sunt necesare Soluţie Kerbtray și kl і st utilitare utilizate pentru a rezolva această problemă sunt incluse în pachetul Resource Kit Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă prin comanda Start ► Run (Start ► Run), rulați programul kerbtray exe Ar trebui să apară o nouă pictogramă verde în zona de notificare (lângă ceasul sistemului) Faceți dublu clic pe el pentru a deschide o fereastră care listează biletele Kerberos existente Pentru a elimina biletele, faceți clic dreapta pe pictograma programului din bordura și selectați Purge Tlckets din meniul contextual Închideți fereastra programului kerbtray, apoi deschideți-o făcând clic dreapta pe pictograma acesteia și selectând comanda List Tickets Capitolul Securitate și autentificare Folosind interfața liniei de comandă Următoarea comandă listează biletele Kerberos: > bilete klist Următoarea comandă elimină toate biletele existente > klist purge Un comentariu Active Directory folosește Kerberos ca sistem principal de autentificare a rețelei Atunci când un utilizator se autentifică cu Centrul de distribuție a cheilor Kerberos (KDC) - deoarece Active Directory se referă la serviciul Kerberos V care rulează pe un controler de domeniu - utilizatorul primește unul sau mai multe bilete care îl identifică ca membru de securitate Active Directory și poate fi utilizat pentru autentificare la accesarea altor servicii activate Kerberos Aceste bilete se numesc TGT-uri (Ticket-Granting-Ticket) Odată ce clientul primește TGT-ul, îl poate transmite unui serviciu compatibil Kerberos și, dacă îl acceptă, îi va furniza clientului un alt bilet propriu Kerberos este un sistem complex care nu poate fi descris în câteva cuvinte Pentru mai multe informații despre cum funcționează, vă recomandăm să consultați cartea Kerberos: The Definitive Guide (O'Reilly) Vezi si Document RFC (Serviciul de autentificare în rețea Kerberos V ) și document MS KB (Administrare Kerberos în Windows ) Partajarea protocoalelor Kerberos și UDP Problemă Să presupunem că clienții au probleme cu autentificarea și se dovedește că acestea se datorează fragmentării excesive a traficului Kerberos produs de UDP Prin urmare, trebuie să vă asigurați că traficul Kerberos este transmis folosind protocolul TCP, și nu UDP Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă prin comanda Start ► Run (Start ► Run), rulați programul regeditexe Deschideți secțiunea HKEY LOCAL MACHINE\System\CurrentControl-Set\Control\Lsa\Kerberos\Parameters în panoul din stânga Configurarea setărilor protocolului Kerberos Faceți clic dreapta pe secțiunea Parametri și selectați Nou ► valoare DWORD din meniul contextual care se deschide Introduceți numele MaxPacketSize pentru noul parametru În panoul din dreapta, faceți dublu clic pe parametrul nou creat și introduceți o valoare de pentru acesta Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add ,'HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters'' /v j "MaxPacketSize' /t REG DWORD /d Folosind un script VBScript Acest cod îi spune lui Kerberos să folosească TCP "CONFIGURARE SCRIPT - strComputer ■= -Computer*" ' De exemplu: rallen-w k ' TERMINAREA CONFIGURĂRII const HKLM - &H D strRegKey - "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" set objReg - GetObjectC'winmgmtsAV' & strComputer & "\root\default:StdRegProv") objReg SetOwordValue HKLM strRegKey "MaxPacketSize ' WScrlpt Echo "Kerberos forțat să folosească TCP pentru " & strComputer Un comentariu Dacă descoperiți că unii utilizatori se conectează la sistem foarte lent (în special într-un VPN) sau că primesc mesajul infam "În prezent nu există niciun server de conectare disponibil pentru a deservi cererea de conectare" (În prezent, nu există servere, ar putea deservi cererea de conectare), atunci poate că motivul pentru tot este fragmentarea traficului Kerberos de către protocolul UDP Pentru a afla dacă problema se află într-adevăr în domeniul Kerberos, trebuie să solicitați utilizatorilor să ruleze următoarea comandă: > netdiag /test kerberos O altă sursă de informații sunt jurnalele de evenimente ale sistemului situate pe computerele client Aceste jurnale înregistrează informații despre diverse evenimente legate de protocolul Kerberos Pentru mai multe informații despre utilizarea Kerberos cu UDP, consultați MS CV (Cum să forțați Kerberos să utilizeze TCP în loc de UDP) Configurarea setărilor protocolului Kerberos Problemă Trebuie să modificați valorile implicite ale parametrilor Kerberos, care determină, printre altele, durata maximă de viață a unui bilet Capitolul Securitate și autentificare Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in Politica de securitate a domeniului În panoul din stânga, deschideți unul câte unul containerele Politici de cont ► Politica Kerberos În panoul din dreapta, faceți dublu clic pe setarea pe care doriți să o modificați, introduceți o nouă valoare și faceți clic pe OK Un comentariu Comportamentul protocolului Kerberos este controlat de o serie de parametri Cele mai multe dintre ele sunt setate implicit, astfel încât să nu fie nevoie să le modificați niciodată Parametrii, care în anumite circumstanțe ar trebui modificați, sunt indicați în tabel Tabelul Setări de bază ale politicii Kerberos Parametru Valoare implicită Aplicarea restricțiilor de conectare a utilizatorului Tichet de serviciu pe durata maximă de viață Durata maximă de viață pentru biletul de utilizator Li*et ne maxim pentru biletul de utilizator pentru reînnoirea biletului de utilizator) Toleranță maximă pentru sincronizarea ceasului ccrouter Activată nin ore zile minute ATENŢIE - Când decideți să schimbați setările Kerberos, ar trebui să vă gândiți cu atenție, deoarece acest lucru poate provoca o scădere a gradului de securitate a sistemului și poate perturba funcționarea acestuia Vezi si Documente MS KB (Descrierea politicilor Kerberos în Windows ) și MS KB (Administrarea Kerberos în Windows ) Logare, monitorizare și cote Introducere Acest capitol explică modul de monitorizare a activității diferitelor componente ale Active Directory De obicei, atunci când se confruntă cu o problemă, primul lucru pe care îl face un administrator este să se uite la fișierele jurnal Active Directory acceptă mai multe jurnale, iar fiecare jurnal are propriul mod de a crește nivelul de detaliu în înregistrarea evenimentelor O altă sursă importantă de informații despre ceea ce se întâmplă în sistem sunt indicatorii de performanță, care pot determina, în special, dacă acesta este supraîncărcat Mai jos vor fi descrise mai multe moduri de a analiza aceste valori și de a monitoriza performanța Active Directory Dacă aveți nevoie de informații mai detaliate, instrumentul de monitorizare NetPro Active Directory (http://www netpro com/) sau pachetul Microsoft Operations Manager (http://microsoft com/mom/) vă poate ajuta Strâns legat de identificarea surselor problemelor este un subiect important, cum ar fi cotele pentru numărul de obiecte create de un principal de securitate (utilizator, grup sau computer) într-o partiție de director Capacitatea de a defini astfel de cote a fost introdusă în Windows Server pentru a închide o gaură de securitate care exista în Windows : utilizatorii cărora li se permitea să creeze obiecte în Active Directory le puteau "produce" în cantități nelimitate, ceea ce ducea adesea la depășirea discului controlor de domeniu Desigur, aceste tipuri de atacuri sunt rare, dar totuși nu ar trebui să uităm de ele Anatomia unui container de obiecte de cotă Cotele de creare a obiectelor sunt reprezentate în Active Directory prin obiecte de cotă, stocate într-un container numit NTDS Quotas În Windows Server , acest container se află în partițiile de director de domeniu, configurație și aplicații, dar nu în partiția de schemă Active Directory (cotele nu pot fi asociate cu partiția de schemă) În mod implicit, în programele administrative, cum ar fi snap-in-ul Active Directory Users and Computers, containerul NTDS Quotas este ascuns, dar poate fi afișat utilizând comanda Vizualizare ► Funcții avansate Clasa container obiect cotă se numește msDS-QuotaContainer și conține Capitolul Exploatare forestieră, monitorizare și cote mai multe atribute care definesc cotele implicite Lista celor mai importante atribute ale obiectului msDS-QuotaContainer este dată în tabel Tabelul Atributele obiectului msDS-QuotaContainer Descrierea atributului SP Numele distinctiv relativ al cotei containerului de obiecte În mod implicit, acest atribut este setat la Cote NTDS msDS-DefaultQuota Cota implicită pentru toate principiile de securitate pentru care cotele nu sunt specificate în mod explicit Vezi și rețeta msDS-QuotaEffectlve Un atribut calculat care conține cota rezultată a principalului de securitate care a solicitat valoarea acestui atribut Vezi și rețeta msDS-Quotalised Un atribut calculat a cărui valoare determină porțiunea utilizată din cota principalului de securitate care a solicitat valoarea acestui atribut Vezi și rețeta msDS- Tcxrbs toneQucta Factor Greutatea cotei de atribuit pietrelor funerare Valoarea implicită este (o piatră funerară este egală cu una adăugată) Vezi și rețeta msOS-TopQuotaUsage Un atribut cu mai multe valori care conține informații despre principalii de securitate cu cea mai mare cotă de utilizare Vezi și rețeta Anatomia obiectului cotă Obiectele cotă aparțin clasei msDS-QuotaControl, care include atributele descrise în Tabelul Tabelul Atributele obiectului msDS-QuotaControl Descrierea atributului Cota de nume distinctiv obiect relativ SP msDS-QuotaAmount Numărul de obiecte pe care principalul de securitate asociat cu acest obiect cotă este permis să le creeze Vezi și rețeta msDS-QuotaT rustee SID-ul principalului de securitate cu care este asociat acest obiect cotă, adică utilizatorul, grupul sau computerul Vezi și rețeta le A gisshirenmy iriiikil dând operație іірѵі poiwiw isrіishi Înregistrare extinsă a operațiunilor programului dcpromo Problemă Este necesar pentru a activa înregistrarea extinsă a operațiunilor programului dcpromo O astfel de nevoie poate apărea, de exemplu, atunci când există probleme la promovarea sau retrogradarea unui server, iar fișierele jurnal ale programului dcpromo nu oferă suficiente informații pentru a le rezolva Soluţie Următoarele arată cum să activați înregistrarea extinsă a operațiunilor dcpromo în Windows Server Soluția Windows are o serie de diferențe, care sunt descrise în secțiunea de comentarii În orice caz, pentru ca cantitatea maximă de informații să fie scrisă în jurnale, valoarea parametrului LogFlags stocat în registrul de sistem ar trebui setată la Pentru o descriere completă a semnificațiilor biților individuali ai acestui parametru , vezi MS KB Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă de comanda Start ► Run (Start ► Run), rulați programul regedit exe În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\Software\Micro-soft\Windows\CurrentVersion\AdmlnDebug\dcpromoui Dacă nu există parametru LogFlags, faceți clic dreapta pe secțiunea depromoui din panoul din stânga și selectați Nou ► valoare DWORD din meniul contextual care se deschide Denumiți noul parametru LogFlags În panoul din dreapta, faceți dublu clic pe parametrul creat și introduceți valoarea dorită Faceţi clic pe butonul OK Folosind interfața liniei de comandă În următoarea comandă, înlocuiți parametrul cu valoarea zecimală (nu hexazecimală!) a setului de steaguri de setat: > reg add HKLM\Software\Microsoft\Windows\CurrentVerslon\AdminDebiig\dcpromoui /v J "LogFlags" /t REGJWRD /d Folosind un script VBScript ' Acest cod setează steaguri de înregistrare pentru utilitarul depromoui ' (se aplică numai pentru Windows Server ) '-CONFIGURARE SCRIPT- strDC - " " ' De exemplu - dcdl IHUUU XJ ii|llililirioopis( iipi I iripі ȘI KDUICM intFIadd = ' Reprezentarea zecimală a setului de steaguri ' De exemplu: • - TERMINAREA CONFIGURĂRII - const HKLM" &H StrDcpromoReg - ,,Software\M cro$oft\Wir)dows\CurrentVersicn\AdminOebug\dcpromoin" set objReg = GetObjectC'winmgnitsAV & strDC & "\root\defaiilt:StdRegProv") objReg strDcpromoReg "steaguri de jurnal" intFlag WScrlpt Echo "Dcpromoui steag setat la " & IntFlag Un comentariu După cum știți deja din Recipe (Capitolul ), programul dcpromo creează mai multe fișiere jurnal în folderul %SystemRoot%\debug, care vă pot ajuta să depanați problemele de promovare sau retrogradare a serverului De obicei, informațiile scrise în fișierul implicit dcpromoui log sunt suficiente pentru a determina cauza majorității problemelor Dacă nu este cazul, ar trebui să creșteți nivelul de înregistrare Cantitatea de informații scrise în jurnalul dcpromoui log este controlată de o setare a registrului de sistem Windows și Windows Server au nume diferite pentru această setare În plus, în Windows , setările de înregistrare sunt scrise în parametrul: HKLM\Software\Microsoft\Wlndows\CurrentVersion\AdminDebug\dcpromoui În Windows Server , acestea sunt stocate într-un parametru, al cărui proces de creare a fost descris în această rețetă: HKLM\Software\Microsoft\Windows\CurrentVersion\AdminDebug\dcpromoui\LogFlags Vezi si Rețeta (Capitolul ) descrie metode pentru rezolvarea unora dintre problemele asociate cu rularea programului dcpromo Vă recomandăm să examinați documentul MS KB (Setări de registru pentru detaliile evenimentului din fișierul jurnal Dcpromoui) Creșterea nivelului de înregistrare a diagnosticului Problemă Trebuie să creșteți nivelul de înregistrare a diagnosticului, deoarece nivelul curent de înregistrare nu este suficient pentru a identifica cauzele problemelor Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă de comanda Start ► Run (Start ► Run), rulați programul regedit exe În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\System\Current-ControlSet\Services\NTDS\Diagnostics la z i ridic nivelul de logare de diagnosticare În panoul din dreapta, faceți dublu clic pe numele parametrului a cărui valoare doriți să creșteți și introduceți un număr din intervalul - Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\D agnostics /v j " n /t REG DWORD /d " ' De exemplu: dcOl strLogSetting - '' ' Reprezentarea zecimală a steagurilor, de exemplu: ' - TERMINAREA CONFIGURĂRII - const HKLM = &H strRegKey - "SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics" set objReg ■ GetObject("winmgmtsAV & strDC & "\root\default:StdRegProv") objReg SetDwordValue HKLM strRegKey "LogFlags" intFlag WScrlpt Echo "Înregistrare diagnosticare pentru " și strLogSetting & "setat la" & intFlag Un comentariu Pentru o analiză mai reușită a problemelor asociate cu utilizarea Active Directory, uneori este recomandabil să creșteți nivelul de diagnosticare a evenimentelor acestui sistem, care se realizează automat în timpul funcționării acestuia Înregistrarea evenimentelor pentru orice componentă Active Directory este întotdeauna controlată de o singură setare Dacă descoperiți, de exemplu, că Knowledge Consistency Checker (KCC) nu rulează la fiecare minute, puteți activa înregistrarea pentru setarea a Knowledge Consistency Checker Setările curente de înregistrare ar trebui să fie stocate în cheia de registry HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics În mod implicit, toți parametrii de aici conțin valoarea , adică nu este efectuată nicio înregistrare de diagnosticare Nivelul de înregistrare al componentei corespunzătoare este determinat prin setarea unor valori de la la O valoare de este de obicei utilizată pentru a indica nivelul minim de înregistrare, este mediu și este ridicat Cel mai înalt nivel de înregistrare este cel mai bine activat ultimul, deoarece înregistrează atât de multe informații încât devine dificil să găsești ceva în el și, de asemenea, crește consumul de resurse pe controlerul de domeniu Următoarea este o listă completă a opțiunilor de înregistrare a diagnosticului definite în Windows Server (rețineți că opțiunile de la la nu sunt acceptate pe controlerele de domeniu care rulează Windows ) Knowledge Consistency Checker (Knowledge Consistency Checker); Evenimente de securitate; BU I lava іb і Înregistrare, monitorizare și cote Evenimente de interfață ExDS; Evenimente de interfață MAPI (evenimente de interfață MART); Evenimente de replicare; Garbage Collection (colectare gunoi); Internai Configuration (Internal configuration); Acces la director (Acces la director); Internai Processing (Internal Processing); Contoare de performanță (Contoare de performanță); I Inițializare / Terminare (Inițializare / finalizare); Service Control (Service Management); Mame Resolution (Rezoluția numelui); Backup (Backup); Inginerie de teren (Depanare); Evenimente de interfață LDAP; Configurare; Global Catalog (Global Catalog); Mesaje inter-site (Transfer de mesaje între site-uri) Group Caching (Memorizarea în cache a informațiilor despre grupuri); Linked-Value Replication (Replicarea valorilor asociate); DS RPC Client (Directory Service RPC Client); DS RPC Server (Directory Service RPC Server); Schema DS (Schema Serviciului Director) Vezi si Vă recomandăm să citiți MS KB (Cum să activați înregistrarea evenimentelor de diagnosticare pentru serviciile Active Directory) Înregistrarea procesului NetLogon Problemă Înregistrarea procesului NetLogon trebuie să fie activată pentru a rezolva problemele legate de conectarea clientului, blocarea contului sau detectarea controlerului de domeniu Soluţie Folosind interfața liniei de comandă Pentru a activa înregistrarea procesului NetLogon, executați următoarea comandă: > nltest /dbflag: x ffff adică h înregistrarea pe partea client a procesului de manipulare a obiectelor choh Dezactivarea înregistrării procesului specificat se face folosind următoarea comandă: > nltest /dbflag: x Un comentariu Fișierul netlogon log, situat în directorul %SystemRoot°/o\Debug, oferă informații importante despre conexiunile client la Active Directory Când nivelul de înregistrare este setat la cel mai înalt ( x ffff), acest jurnal înregistrează informații despre site-ul căruia îi aparține clientul și controlerul de domeniu față de care a fost autentificat, precum și informații suplimentare legate de procesul DC Locator, vechimea parolei contului, contul blocare și chiar erori Kerberos Numărul curent al nivelului de înregistrare al procesului NetLogon trebuie să fie stocat în parametrul DBF ad al cheii de registry: HKLM\System\CurrentControlSet\Servlces\Netlogon\Parameters Dacă setați acest parametru manual în loc să utilizați utilitarul nltest, serviciul NetLogon va trebui să fie repornit înainte ca noua setare să intre în vigoare Fiți conștienți de faptul că, cu înregistrarea detaliată, dimensiunea fișierului netlogon log poate crește rapid la câțiva megaocteți Pentru a căuta informații în acest fișier, puteți utiliza un instrument special pentru filtrarea conținutului acestuia - un nou utilitar pentru Windows XP și Windows Server numit nlparse Utilitarul face parte din pachetul Instrumente de blocare și gestionare a contului, care poate fi descărcat de pe site-ul Web Microsoft la http://www microsoft com/downloads/details aspx FamilyID-= af e c- f - e - -b adde b e&DisplayLang= ro Vezi si MS KB (Activarea înregistrării de depanare pentru serviciul Netlogon) MS KB (Cum sunt amplasate controlerele de domeniu în Windows) și MS KB (Descrierea evenimentului de securitate ) Înregistrare pe partea client a procesării GPO - Problemă Doriți să identificați sursa problemelor care apar la procesarea GPO-urilor pe un computer client sau server, activând înregistrarea suplimentară a evenimentelor în jurnalul de aplicație Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă prin comanda Start ► Run (Start> Run), rulați programul regedit exe i lava ie i rotocoling, mini-imagini și liniște În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\Software\Micro-soft\Windows NT\CurrentVersion Dacă nu are o secțiune Diagnostics, faceți clic dreapta pe secțiunea CurrentVersIon și alegeți New ► Key Denumiți noua secțiune Diagnosticare Faceți clic dreapta pe partiția creată și selectați Nou ► valoare DWORD din meniul contextual Denumiți acest parametru RunDiagnosticLoggingGroupPolicy În panoul din dreapta, faceți dublu clic pe numele noului parametru și setați valoarea lui la Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add "HKLM\SOFTWARE\M crosoft\Windows NT\CurrentVersion\D agnost ce" /v -J "RunDiagnosticLoggingGroupPolicy- /t REG DWORD /d Folosind un script VBScript * Acest cod este inclus pe un anumit computer ' înregistrează procesarea GPO-urilor '-CONFIGURARE SCRIPT- strComputer - " " ' De exemplu: rallen-w k - TERMINAREA CONFIGURĂRII - const HKLM - &H strRegKey - "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics" set objReg - GetObjectCwinmgmtsAV & strComputer & M\root\default:StdRegProv") objReg SetDwordValue HKLM strRegKey "RunDiagnosticLoggingGroupPolicyB Wscript Echo "Înregistrare GPO activată pentru" și strComputer Un comentariu Dacă apar probleme în timpul procesării GPO-urilor (de exemplu, setările politicii de grup nu sunt aplicate când ar trebui), există mai multe metode pe care le puteți utiliza pentru a determina sursa problemei Una dintre ele este înregistrarea suplimentară a evenimentelor legate de GPO Dacă setați valoarea RunDiagnosticLogging-GroupPolicy la în registrul de sistem, jurnalul de aplicație va înregistra cât mai multe informații posibil despre procesarea GPO-urilor, inclusiv când a început procesarea, setările care au intrat în vigoare și erorile care au apărut Următorul este un exemplu de intrare de jurnal care arată ce politici de grup au fost aplicate DC Când doriți să dezactivați înregistrarea în jurnal, eliminați setarea RunDiagnosticLoggingGroupPolicy sau setați-o la Tip eveniment: Eroare Sursa evenimentului: userenv Categoria evenimentului: Niciuna ID eveniment: Data: / / le e I protocolare a sistemului iche ueros Ora: Utilizator: Computer: : : NT AUTHORITYXSYSTEM DCI Descriere: Obiectele politicii de grup care trebuie aplicate: "Politica implicită de domeniu" "Politica implicită pentru controlere de domeniu" Vezi si Document MS KB (Cum se activează înregistrarea evenimentelor în mediul utilizatorului în Windows ) Înregistrarea sistemului Kerberos Problemă Trebuie să activați înregistrarea sistemului Kerberos pe controlerul de domeniu pentru a izola sursa problemelor care apar în timpul autentificării Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă prin comanda Start ► Run (Start ► Run), rulați programul regeditexe În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\System\Current-ControlSet\Control\Lsa\Kerberos\Parameters Dacă parametrul LogLevel nu este listat, faceți clic dreapta pe secțiunea Parametri și selectați Nou ► valoare DWORD din meniul contextual care se deschide Denumiți noul parametru LogLevel și faceți clic pe OK În panoul din dreapta, faceți dublu clic pe numele parametrului creat și introduceți o valoare de pentru acesta Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v "LogLevel" J /t REG DWORD /d Folosind un script VBScript ' Acest cod activează înregistrarea sistemului Kerberos pe controlerul de domeniu specificat '-CONFIGURARE SCRIPT- strDC ■ " " ' De exemplu: dcOl '-END CONFIGURARE- const HKLM - &H strRegKey - "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters" set objReg •= GetObject(''winmgmts:\\" & strDC & "\root\default:StdRegProv") specifică suma codurilor de eveniment și nivelul de înregistrare în notație hexazecimală Codurile de eveniment valide sunt listate în tabel > dnscmd /Config /LogLevel Următoarea comandă vă permite să setați locația fișierului jurnal: > dnscmd /Config /LogFilePath Dacă doriți să înregistrați evenimente asociate numai cu adresele IP pe care le specificați, executați următoarea comandă: > dnscmd /Config /LoglPFilterList [ ] Următoarea comandă vă permite să setați dimensiunea maximă a fișierului jurnal ca număr hexazecimal: > dnscmd /Config /LogFileMaxSize Folosind un script VBScript ' Acest cod activează înregistrarea evenimentelor DNS '-CONFIGURARE SCRIPT- strServer = '' " ' De exemplu: dcl ' Nivelul de jurnal trebuie să fie în zecimală, nu hex, cum ar fi dnscmd intLogLevel - ' Sunnah de steaguri, reprezentate în zecimală "vizualizare, de exemplu: arrFi terList - Aggay(" '') ' De exemplu: strFilePath - ' De exemplu: c:\dnslog txt intFileSize ■ ' Suma steagurilor exprimată în zecimală formă, de exemplu: Capitolul Exploatare forestieră, monitorizare și cote - TERMINAREA CONFIGURĂRII - set objDNS - GetObject(''winMgmts:\\" & strServer & "\root\M crosDftONS") set objDNSServer = objDNS Get("MlcrosoftDNS Server Name-""'*'*)* objDNSServer LogLevel objONSSerLevel - intLogLevel LogIPFilterList = arrFilterList objDNSServer LogFilePath - strFilePath objDNSServer LogFileMaxSize - întFileSize objDNSServer Put WScript Echo "Enabled DNS Debug Logging on" & strServer Un comentariu Jurnalul de depanare a serverului DNS conține, de obicei, informații despre toate operațiunile DNS, interogările primite și actualizările în curs, modificările tipului de zonă etc Dacă problemele pe care le întâmpinați sunt legate într-un fel de un anumit computer, atunci folosiți comanda dnscmd cu cheia LogIPFi IterLIst sau API-ul WMI DNS Provider, vă puteți limita la înregistrarea numai a informațiilor despre acest computer Cea mai importantă setare pentru înregistrarea depanării este nivelul acesteia Consola DNS vă permite să selectați opțiunile de înregistrare adecvate și, în timp ce Windows Server oferă o interfață intuitivă convenabilă pentru aceasta, Windows afișează pur și simplu o serie de casete de selectare în fața dvs și puteți doar ghici care sunt potrivite pentru rezolvarea unei probleme sarcină specială Pentru soluțiile care utilizează linia de comandă și un script în limbajul VBScript, situația este similară În tabel Tabelul prezintă valorile hexazecimale și zecimale ale codurilor de eveniment DNS Tabelul Codurile de evenimente înregistrate DNS Valoare hexazecimală Valoare zecimală Descriere x Valoare implicită: fără înregistrare x Cerere de procesare a tranzacțiilor x Tranzacții de notificare x Tranzacții de actualizare OxFE Tranzacții fără interogare x pachete de întrebări x Pachete de răspuns x Trimiterea pachetelor x Se primesc pachete x pachete UDP x pachete TCP xFFFF Toate pachetele x Tranzacții de scriere Active Directory x Tranzacții de actualizare Active Directory Vizualizarea statisticilor de performanță a serverului DNS Valoare hexazecimală Valoare zecimală Descriere x Pachete complete x Tranzacții scrise Modul de înregistrare a evenimentelor al Sistemului de nume de domeniu este util în special în cazurile în care trebuie să controlați execuția solicitărilor de actualizări dinamice a datelor de către un anumit server DNS De exemplu, dacă un client sau un server DHCP încearcă să înregistreze dinamic intrări, puteți activa înregistrarea tranzacțiilor de actualizare pe serverul care ar trebui să facă înregistrarea Dacă nu există înregistrări ale tranzacțiilor de actualizare în jurnal, cel mai probabil va însemna că un alt server se înregistrează NOTĂ - - Înregistrările tranzacțiilor nu sunt adăugate imediat în jurnalul de depanare: ele sunt stocate în tampon și sunt scrise într-un fișier pe măsură ce solicitările procesate se acumulează Vezi si Document MSDN Server MicrosoftDNS Vizualizarea statisticilor de performanță a serverului DNS Problemă Doriți să vedeți statisticile de performanță a serverului DNS în Active Directory Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați programul perfmon exe În panoul din stânga, faceți clic pe Monitor sistem În panoul din dreapta, faceți clic pe butonul + bara de instrumente pentru a deschide caseta de dialog pentru adăugarea contoarelor K Setați butonul radio la Selectare contoare de pe computer și introduceți numele serverului DNS a cărui performanță vă interesează Selectați obiectul de performanță DNS Utilizând butonul Adăugare, specificați contoarele dorite Faceți clic pe butonul Închidere BB Capitolul Exploatare forestieră, monitorizare și cote Folosind interfața liniei de comandă > dnscmd /statistics Folosind un script VBScript ' Acest cod afișează informații statistice despre funcționarea serverului DNS CONFIGURARE SCRIPT - strServer - ' ' De exemplu dcl rallencorp com • - TERMINAREA CONFIGURĂRII set objDNS ■ GetObject("winmgmts \\" & strServer & "\root\MicrosoftONS") set objONSServer - objDNS Get(,,MicrosoftONS Segver Name-,'" ",") set objStats - objDNS ExecQuery("Selectați * din MicrosoftDNS Statistic") pentru fiecare objStat din objStats WScrlpt Echo " " & objStat Name & " : ' & objStat Value Următorul Un comentariu Microsoft DNS Server menține zeci de contoare de performanță care măsoară numărul de interogări, actualizări și mișcări de intrare în director Prin integrarea acestor contoare într-un sistem de management al întreprinderii, utilizarea DNS poate fi urmărită în timp Statisticile colectate în acest fel vor ajuta la rezolvarea problemelor cauzate, în special, de încărcarea excesivă a serverelor De exemplu, dacă bănuiți că serverul DNS este supraîncărcat cu solicitări de actualizare, activați contorul de actualizare dinamică primite/sec și monitorizați citirile acestuia La soluție folosind interfața de linie de comandă Comanda dnscmd poate afișa un subset de statistici Pentru a face acest lucru, adăugați cheia /statistics și specificați suma codurilor categoriei de contor după aceasta Pentru o listă completă de coduri de categorie, utilizați comanda: > dnscmd /statistics/? Mai jos sunt statisticile pentru categoriile Interogare (cod ) și Interogare (cod ): > dnscmd /statistics b Server DNS statistici: Întrebări și răspunsuri: total: Întrebări primite - Răspunsuri trimise - UDP Interogări Recvd - Răspunsuri trimise- Interogări trimise = Răspunsuri Recvd - TCP: Client Connects - Interogări Recvd răspunsuri trimise Înregistrarea interogărilor LDAP ineficiente și costisitoare iad Întrebări Sfântul - Oh Răspunsuri Recvd - Despre Întrebări: Total - notifica Actualizare - TKeyNego- Standard - A- NS- SOA- MX- PTR- SRV- TOATE IXFR - AXFR - ALTE- Comanda a fost finalizată cu succes Către o soluție VBScript Pentru a obține un subset de statistici, trebuie să adăugați o clauză where la interogarea dvs WQL De exemplu, următoarea interogare va returna numai înregistrări care încep cu șirul Înregistrări: selectați * din MicrosoftDNS Statistic wtiere Nume precum "Înregistrări?" Vezi si Document MSDN Statistici Microsoft DNS Înregistrarea interogărilor LDAP ineficiente și costisitoare Problemă Doriți să adăugați o intrare în jurnalul Serviciilor de director pentru interogări LDAP ineficiente și costisitoare Soluţie Pentru a obține un raport rezumat care arată totalul, numărul de căutări costisitoare și numărul de căutări ineficiente, setați opțiunea de înregistrare Field Engineering la Acest raport rezumat este generat la fiecare ore, în același timp cu colectarea gunoiului Dacă trebuie să înregistrați Serviciile de director de fiecare dată când efectuați o operațiune costisitoare sau Capitolul Exploatare forestieră, monitorizare și cote Dacă a fost înregistrată o solicitare ineficientă, setați parametrul Field Engineering la Modul în care este activată înregistrarea de diagnosticare este detaliat în Rețeta Un comentariu O căutare este considerată costisitoare dacă necesită parcurgerea unui număr mare de obiecte Active Directory Dacă în urma execuției sale se returnează mai puțin de % din numărul total de obiecte scanate, căutarea este considerată ineficientă Implicit, valoarea prag pentru criteriul de căutare scump este de , adică o căutare în care trebuie să fie vizualizate cel puțin de obiecte în igroprocesul aparține categoriei de scump executarea unei interogări, un anumit număr de obiecte au fost vizualizate iar dintre acestea (mai puțin de %) au fost returnate, interogarea este considerată ineficientă; dar nicio interogare care are ca rezultat vizualizarea a mai puțin de de obiecte (chiar dacă au fost vizualizate și este returnat ) nu va fi considerată ineficientă Următorul este raportul final generat cu Parametrul Field Engineering setat la : Tur eveniment: Informatlon Sursa evenimentului: NTDS General Categoria evenimentului: Inginerie de câmp ID eveniment: Data: / / Ora: : : Utilizator: NT AUTHORITYXANONYMOUS LOGON Computer: DCI Descriere: Eveniment intern: Active Directory a efectuat următorul număr de operațiuni de căutare în acest interval de timp Interval de timp (ore): Numărul de operațiuni de căutare: În acest interval de timp, următorul număr de operațiuni de căutare au fost caracterizate fie ca fiind costisitoare, fie ineficiente Operațiuni de căutare extinse: Operațiuni de căutare ineficiente Dacă Parametrul Field Engineering este setat la , un raport rezumat este generat în același timp cu colectarea gunoiului, iar evenimentul este înregistrat de fiecare dată când se efectuează o căutare ineficientă sau costisitoare Rețineți că această intrare conține informații destul de detaliate, inclusiv adresa IP a clientului, numele utilizatorului autentificat, numele distinctiv al bazei de căutare, atributele specificate în specificația filtrului, lista de obiecte de control, numărul de obiecte vizualizate și numărul de obiecte returnate Înregistrarea interogărilor ineficiente și costisitoare L an Toate aceste informații sunt furnizate numai de controlerul de domeniu Windows Server Windows nu oferă astfel de informații detaliate Informare Tur Eveniment sursa evenimentului Categoria evenimentului NTDS General Field Engineering ID eveniment: Data: T me: Utilizator: / / : PM RALLENCORP\rallen Computer-DCI Descriere Eveniment intern Un client a emis o operațiune de căutare cu următoarele opțiuni client: Nod de pornire DC-ra encorp,DC-com Filtru: (Descriere-*) domeniul de căutare subarborele Selectarea atributelor: cn comenzile serverului Intrări localizate: intrări returnate: Dacă setările implicite sunt în vigoare, interogarea din intrarea de jurnal de mai sus este considerată costisitoare (mai mult de de obiecte vizualizate) și ineficientă (mai puțin de % din acel număr returnat) Pentru a modifica aceste setări, trebuie să creați două noi valori DWORD în cheia de registry HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Primul se numește Expensive Search Results Threshold, care stabilește numărul de obiecte care trebuie vizualizate pentru ca căutarea să fie considerată scumpă Al doilea parametru se numește Pragul rezultatelor căutării ineficiente, stabilește numărul minim de obiecte căutate, la care căutarea poate fi considerată ineficientă NOTĂ - - Dacă doriți să vizualizați o listă cu toate interogările LDAP primite de controlerul de domeniu, ar trebui să setați parametrul Field Engineering la și parametrul Expensive Search Results Threshold la În acest caz, controlerul de domeniu va trata orice interogare ca fiind costisitoare și înregistrați toate interogările LDAP pentru a căuta informații în director Adevărat, această caracteristică nu trebuie abuzată, deoarece cu astfel de setări revista se revarsă rapid Vezi si Rețeta descrie cum să activați înregistrarea de diagnosticare a operațiunilor Active Directory U Capitolul Exploatare forestieră, monitorizare și cote Vizualizarea statisticilor de interogare LDAP utilizând obiectul de control STATS Problemă Doriți să vizualizați statisticile de interogare a serviciului LDAP utilizând obiectul de gestionare STATS Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Rulați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server (Server), introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola și faceți clic pe butonul OK Executați comanda Opțiuni ► Control (Parametri ► obiect Control) În Windows Server , selectați obiectul Search Stats din lista Load Predefined; pe Windows , adăugați un obiect al cărui OID este Faceți clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) Introduceți criteriile de căutare și faceți clic pe butonul Opțiuni În lista Căutare tip Caii, selectați Extins Faceți mai întâi clic pe butonul OK, apoi pe butonul Run Un comentariu Obiectul de control STATS vă permite să colectați informații statistice despre performanța unei interogări LDAP Poate fi folosit pentru a obține informații despre timpul necesar serverului pentru a procesa cererea, numărul de obiecte vizualizate și returnate, expresia de filtru rezultată și dacă au fost folosiți indecși Următoarele sunt informații despre căutarea conturilor de grup de obiecte stocate în containerul cn-Users: ***Căutare ldap search ext s(ld "cn=u$ers DC-ral encorp C=com" "(objectcategory-group)" attrList svrCtrls ClntCtrls, ,&msg) rezultat : DNS-uri potrivite: Statistici: Caii Time: (ms) Intrări returnate: Intrări vizitate: Filtru folosit: (objectCategory-CH-Group,CN-Schema CN-Configuration DC-ral encoro CX>com) Indecși utilizați: INTERSECT INDEX: I Monitorizarea Active Directory cu perfmon Rețineți că căutarea a căutat obiecte și le-a returnat pe toate Rețeta definește această căutare ca fiind ieftină și eficientă Filtrul specificat în condiția de căutare (obiectcategory-group) a fost convertit în filtru (ob j ec tCategory-C N-Gr ou p CN=Schema CN=Conf i gurati on OOra encorp DOcom) Atributul objectCategory are o sintaxă de nume distinctă, dar Active Directory vă permite să specificați în schimb un nume afișat pentru clasă Un astfel de nume este convertit de Active Directory însuși într-un nume distinctiv, pe care îl vedem în expresia de filtru rezultată S-a specificat că căutarea a folosit indexul INTERSECT INDEX: :I Să luăm în considerare un alt exemplu - căutarea valorii lui Jim Smith folosind algoritmul ANR După executarea acestuia, a fost generată următoarea intrare - ***Search ng ldap search ext s(ld, "ou-Sales DC-rallencorp OC-com" "(anr-Jim Smith)*' attrUst svrCtrls, cTntCtrls, ,&msg) rezultat : DNS-uri potrivite: Statistici: Caii T me: (ms) Intrări returnate: Intrări vizitate: Filtru folosit: ( | (displayName-Jim Smith*) (g venName=Jim Smith*) (legacyExchangeDtbJim Smith) (msDS-AdditionalSamAccountName-J m Smith*) (phys calDel veryOfficeName-J m Smith*) (proxyAddresses-J m Smith*) (nume-Jim Smith*) (sAMAccountName-Jim Smith*) (sn-J m Smith*) (givenName-Jim*) (sn-Sm th*) ) (& (givenName-Smith*) (sn-Jim*) ) ) Indecși folosiți: dx gi venName: :N;i dx g venName: :N; dx sn: :N: dx sAMAccountName :N; dx name N;idx proxyAddresses: :N;idx physlcalDel veryOfficeName N:idx msDS-Addi t onalSamAccountName : N; dx egacyExchangeDN: :N; dx gi venName :N;idx displayName: :N: A doua linie a acestei intrări indică faptul că a fost specificat un filtru pentru căutare (anr-Jim Smith) După antetul Filtru utilizat:, se raportează că, conform regulilor ANR, acest filtru a fost convertit într-o expresie compusă lungă Acest exemplu demonstrează capabilitățile obiectului de control STATS și informațiile detaliate pe care le puteți obține prin analizarea interogărilor LDAP Vezi si Rețeta (Capitolul ) vorbește despre utilizarea obiectelor de control LDAP, Rețeta (Capitolul ) vorbește despre căutări de obiecte Active Directory, Rețeta (Capitolul ) vorbește despre ANR și Rețeta vorbește despre operațiunile de căutare care sunt considerate ineficiente și costisitoare Monitorizarea Active Directory cu perfmon Problemă Doriți să monitorizați Active Directory folosind utilitarul perfmon Capitolul Exploatare forestieră, monitorizare și cote Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați programul perfmon exe În panoul din stânga, faceți clic pe Monitor sistem Apăsați tastele Ctrl+I pentru a deschide o casetă de dialog în care vor fi adăugate contoarele Setați butonul radio la Selectare contoare de pe computer și introduceți numele controlerului de domeniu pe care doriți să-l monitorizați Selectați obiectul de performanță NTDS Utilizând butonul Adaugă, specificați contoarele necesare Faceți clic pe butonul Închidere Un comentariu Active Directory oferă perfmon mai multe contoare pe care le puteți utiliza pentru a monitoriza activitatea serviciului de director și pentru a colecta informațiile necesare pentru a rezolva problemele Toate aceste contoare, care fac parte din obiectul de performanță NTDS, vă permit să urmăriți următoarele operații: căutare în agenda de adrese; replicare internă și externă; citirea, scrierea și căutarea LDAP; Autentificare Kerberos și operațiuni SAM Mai jos este o listă a celor mai frecvent utilizate contoare NTDS Pentru a afla scopul unui anumit contor din programul perfmon, faceți clic pe butonul Explicație din fereastra Adăugare contoare și selectați contorul care vă interesează Despre DRA Inbound Bytes Total/sec este numărul total de octeți de replicare intrat pe secundă, adică suma octeților necomprimați (niciodată compresibili) și comprimați (după compresie) Despre DRA Inbound Objects/sec Numărul total de obiecte primite de la vecini în timpul replicării inbound (Un vecin este un controler de domeniu de la care controlerul de domeniu local primește date replicate ) Despre DRA Inbound Values Total/sec - Numărul total de valori ale proprietăților obiectului primite de la vecini în timpul replicării inbound Fiecare obiect de intrare are una sau mai multe proprietăți și fiecare proprietate poate avea una sau mai multe valori Nicio valoare nu indică faptul că proprietatea a fost eliminată Despre DRA Outbound Bytes Total/sec Numărul total de octeți de ieșire de replicare, adică suma octeților necomprimați (niciodată compresibili) și comprimați (după compresie) Despre DRA Outbound Objects/sec - Numărul de obiecte replicate de ieșire pe secundă Monitorizarea Active Directory cu perfmon Despre DRA Outbound Values Total/sec - Numărul total de valori ale proprietăților obiectului trimise către partenerii de replicare de ieșire Despre DRA Sincronizări de replicare în așteptare Numărul de sincronizări de directoare care sunt puse în coadă la server, dar nu au fost încă procesate Despre DS Client Binds/sec Numărul de legături ntdsapl dll efectuate de acest controler de domeniu pe secundă Despre DS Directory Reads/sec - Numărul de citiri de director efectuate pe secundă Despre Căutări în director DS/sec - Numărul de căutări în director efectuate pe secundă Despre DS Directory Wntes/sec (DS Directory Writes/sec) - Numărul de scrieri în director efectuate pe secundă Despre solicitările AS KDC - numărul de solicitări AS servite de KDC pe secundă Solicitările AS sunt folosite de clienți pentru a obține un bilet pentru a acorda un tichet (Server de autentificare, AS, - server de autentificare; Centrul de distribuție Kerberos Keu, KDC, - Centrul de distribuție a cheilor Kerberos) Despre solicitările TGS KDC (cereri TGS KDC) - numărul de solicitări TGS servite de KDC pe secundă Solicitările TGS sunt folosite de clienți pentru a obține un bilet de acces la o resursă (Ticket Granting Server, TGS, este un server care furnizează bilete Kerberos ) Despre autentificări Kerberos - Un contor care măsoară de câte ori pe secundă clienții folosesc un bilet la acest controler de domeniu pentru a se autentifica la acesta Despre Timpul de legare LDAP - Timpul în milisecunde necesar pentru finalizarea ultimei legături LDAP cu succes Despre sesiunile client LDAP - numărul de sesiuni client LDAP conectate Despre căutările LDAP (% din căutările LDAP către DS) reprezintă numărul de căutări LDAP din director ca procent din totalul căutărilor Despre căutări LDAP/sec - Frecvența la care clienții LDAP efectuează operațiuni de căutare Despre LDAP Successful Blnds este procentul de încercări reușite de legare LDAP Despre LDAP Succesful Binds/sec - Numărul de legături LDAP reușite efectuate pe secundă Despre scrierile LDAP (% din scrierile LDAP la DS) este numărul de scrieri LDAP în director ca procent din totalul scrierilor Despre scrierile LDAP/sec - Frecvența la care clienții LDAP efectuează operațiuni de scriere Capitolul Exploatare forestieră, monitorizare și cote Utilizarea jurnalelor de urmărire perfmon pentru a monitoriza activitatea Active Directory Problemă Doriți să setați programul perfmon să mențină jurnalele de urmărire care sunt utilizate pentru a înregistra și a vizualiza ulterior apelurile de sistem legate de Active Directory Soluţie Rulați programul perfmon În panoul din stânga, faceți clic pe Monitor sistem Deschideți containerul Jurnale de performanță și alerte Faceți clic dreapta pe elementul Trace Logs și selectați New Log Settings din meniul contextual care se deschide Introduceți un nume pentru noul jurnal și faceți clic pe butonul OK Faceţi clic pe butonul Adăugare Selectați unul sau mai mulți furnizori Active Directory și faceți clic pe OK Defilați prin diferitele file una câte una pentru a configura opțiuni suplimentare de jurnal și faceți clic pe butonul OK Dacă nu ați specificat un alt moment pentru al crea, jurnalul de urmărire va fi afișat în panoul din dreapta și o pictogramă verde va apărea lângă el pentru a indica că urmărirea este în curs Dacă decideți să opriți urmărirea, faceți clic dreapta pe această pictogramă și selectați Stop Utilizați comanda cd pentru a trece la directorul în care sunt stocate jurnalele de urmărire (prestabilit este c:\perflogs): > cd c:\perflogs Rulați comanda de mai jos: > tracerpt Această comandă este disponibilă numai pe Windows Server Pe Windows , trebuie să utilizați utilitarul tracedmp din Kitul de resurse Programul tracerpt generează un fișier summary txt cu o descriere a evenimentelor care au avut loc și un fișier dumpfile csv cu informații detaliate despre fiecare eveniment, care poate fi importat în Excel sau vizualizat cu orice editor de text Utilizarea jurnalelor de urmărire perfmon Un comentariu Jurnalele de urmărire înregistrează informații detaliate la nivel de sistem și aplicație Pentru ca sistemul să urmărească o anumită aplicație, furnizorul corespunzător trebuie să fie instalat împreună cu acea aplicație Active Directory acceptă câțiva dintre acești furnizori, care înregistrează apeluri de sistem de nivel scăzut legate de Kerberos, LDAP și DNS Acesta este un instrument puternic pentru depanarea și analizarea funcționării interne a Active Directory, dar rețineți că va necesita o mulțime de resurse de sistem Următorul este un exemplu de conținut al unui fișier summary txt generat pe un controler de domeniu care are activați toți furnizorii de jurnal de urmărire Active Directory Fi ie procesate: AD etl Tampoane totale procesate Total evenimente procesate Total evenimente pierdute Ora de început Ora de încheiere Timp scurs vineri mai vineri mai sec |Număr evenimente Nume eveniment Event Tip Guid | Antet EventTrace { fdd - a e-lldl- f - f e }| SamNameByld Start { - f-lld - e- f a }| SamNameByld End { - f-lld - e- f a }| KerblnitSecurityContext End { e f a- cd - ed-b e -fde bf cea }| KerblnitSecurityContext Start { e fla- cd - ed-b e -fde bf cea }| KerbAcceptSecurityContext Start { acefe - e - e - B - a c )| KerbAcceptSecurityContext End { acefe - e - e - - a c }j J SamGetAli asMem Start {lcf fdl -lacl- - f - a a ee}| SamGetAliasMem End {lcf fdl -lacl- - f - a a ee}| LdapRequest End {b d a- a -lld -b - c fb a }| LdapRequest Start {b d a- a -lld -b - c fb a }| DsLdapBInd Start { acd -daeb-lldl-be - c fadfff }| DsLdapBind End { acd -daeb-lldl-be - cC fadfff }| DsDirSearch End { acd -daeb-lldl-be - c fadfff } + DsDirSearch Start { acd -daeb-lldl-be - c fadfff }j Aceasta indică faptul că o solicitare de legare LDAP (DsLdapBInd), căutări în director (DsDI rSearch) și interogări LDAP generice (LdapRequest) au fost finalizate în de secunde Fișierul dumpfîle csv conține o înregistrare a tuturor evenimentelor care au avut loc într-o anumită perioadă de timp Următoarele sunt intrările care se potrivesc cu interogarea DsDi rSearch (liniile lungi din registrul de lucru sunt împărțite în mai multe părți și linii goale sunt inserate între ele): DsDirSearch, Start F "DS" " " "deep" "OU-Sales DC=rallencorp DC-com" " DsDirSearch Sfârşit OxOOOOG F "DS", Capitolul Exploatare forestieră, monitorizare și cote "O' ' (&(objectCategory-CN-Person CN-Schema CN-Configuration DC-ral encorp DC=com) (objectClass-user)) Pe baza acestor înregistrări, se poate determina, în special, că utilizatorul computerului cu adresa IP a făcut o solicitare LDAP pentru a obține o listă de obiecte utilizator de la Vezi si Document MS KB (CUM TQ; Creați și configurați jurnalele de urmărire a monitorului Performante în Windows ) Auditul accesului la director Problemă Este necesar să permită auditarea accesului la director și modificarea conținutului acestuia; Evenimentele de audit sunt scrise în jurnalul de securitate Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul pentru Politica de securitate a controlerului de domeniu În panoul din stânga, deschideți containerul Politici locale și faceți clic pe intrarea Politică de audit În panoul din dreapta, faceți dublu clic pe Audit directory service access Asigurați-vă că este bifată caseta Deține aceste setări de politică Bifați caseta de selectare Succes sau Eșec sau ambele Faceţi clic pe butonul OK Folosind interfața liniei de comandă > auditpol \\ /entai /directory all Un comentariu În jurnalul de securitate, puteți înregistra toate încercările reușite și nereușite de a accesa un director și de a modifica conținutul acestuia - această înregistrare se numește audit Modul de audit, setarea de acces la serviciul director de audit, este setat la nivelul controlerului de domeniu în obiectul său de politică de grup de securitate După setarea parametrului specificat, trebuie să activați auditarea utilizând editorul ACL Auditul accesului la director în lista de control al accesului la sistem (SACL) pentru obiectele și containerele pe care doriți să le monitorizați În mod implicit, ACL-ul unui obiect care reprezintă un domeniu conține o intrare care permite auditarea tuturor acceselor la obiect de către principalul de securitate Eveguone (Toate) Aceasta înseamnă că, odată ce activați auditarea pentru GPO de securitate al unui controler de domeniu și acel obiect este replicat altor controlere de domeniu, toți controlorii de domeniu vor putea să înregistreze evenimente de acces în orice parte a directorului Evident, un astfel de audit va genera o mulțime de înregistrări, așa că va trebui să dezactivați auditarea acțiunilor principalului de securitate Eveguone (Toate) și să setați setările pentru auditare personalizată, sau aveți grijă ca controlerele de domeniu să nu fie supraîncărcate Următoarea înregistrare a evenimentului raportează că proprietarul contului de administrator a creat un obiect de tip contact numit foobar în OU de vânzări Tur eveniment: audit de succes Sursa evenimentului: securitate Categoria evenimentului: Acces la serviciul director ID eveniment: Data: / / Ora: : PM Utilizator: RALLENCORPXadministrator Computer: DCI Descriere: operare obiect: Object Server DS Tip operațiune Acces obiect Tip obiect: Unitate de organizare Nume obiect: OU=Sales,OC-rallencorp,DC-com ID mâner: Nume de utilizator principal: DC $ Domeniul primar: RALLENCORP ID de conectare principal: (OxO Ox E ) Nume utilizator client: administrator domeniul clientului RALLENCORP ID de conectare client: ( x x B BE) Accese- Creare copil Proprietăți es Creați copilul a lua legatura Informații suplimentare: CN-foobar OU-Sales DO-ra encorp DC-com Informații suplimentare : CN=foobar OU-=Sales DC-ra encorp,DC-com Masca de acces: x În GPO-ul controlerului de domeniu, este logic să setați modul Audit Account Management (Audit Account Management) Acest lucru vă va permite să obțineți informații suplimentare despre operațiunile asociate conturilor (de exemplu, despre ce proprietar de cont a șters un anumit obiect) Capitolul Exploatare forestieră, monitorizare și cote Vezi si Documente MS KB (CUM PENTRU: Cum se activează auditarea accesului la serviciul de director), MS KB (CUM PENTRU: Auditarea obiectelor Active Directory în Windows ), MS KB (CUM PENTRU: Activarea auditării accesului la Active Directory în Windows ) și MS KB (CUM SE: Auditează obiectele Active Directory în Windows Server ) Definiția cotei Problemă Doriți să utilizați obiectul cotă pentru a limita numărul de obiecte pe care un anumit principal de securitate are voie să le creeze în partiția specificată Soluția Folosind interfața liniei de comandă > dsadd quota -part partition partition> -qlimit -acct [-rdn '] Următoarea comandă creează un obiect cotă care specifică că un utilizator numit RALLENCORPXrallen poate crea până la obiecte în partiția dc=rallencorp dc-com: > dsadd quota -part dc-ral encorp dc-com -qlimit -acct RALLENCORPXrallen Un comentariu O cotă este o caracteristică nouă în Windows Server care permite unui administrator să limiteze numărul de obiecte pe care un utilizator (sau un grup de utilizatori) are permisiunea de a crea Este similar cu cota de creare a obiectelor computerului pe care o puteți defini în Windows (consultați Rețeta pentru mai multe despre aceasta) Adevărat, cotele din Windows Server se aplică la crearea obiectelor de orice tip Când definiți o cotă, trebuie să specificați trei parametri Despre secțiunea Catalog În prezent, cotele se aplică numai partițiilor întregi de director Nu puteți seta o cotă care se aplică numai unui subarboresc al unei partiții Puteți seta o cotă pentru orice partiție, inclusiv partiția aplicației, dar nu și partiția schema, deoarece schema, care este o partiție de director foarte protejată, nu are nevoie de astfel de restricții Despre Membru al sistemului de securitate O cotă poate fi definită pentru orice principal de securitate, indiferent de tipul acestuia SID-ul acestui membru este stocat în atributul msDS-QuotaTrustee al obiectului cotă Această rețetă poate fi finalizată numai dacă controlerul de domeniu rulează Windows Server Găsirea obiectelor de cotă asociate cu un principal de securitate O Dimensiunea cotei Această setare determină câte obiecte poate crea un anumit principal de securitate Limita cotei include atât obiectele create, cât și șterse de utilizator Dacă un utilizator creează un obiect și apoi șterge altul, două obiecte sunt scăzute din cota lor, deoarece ștergerea obiectului va crea în schimb o piatră funerară, care este tratată ca o altă operațiune de creare Dacă utilizatorul creează un obiect și apoi îl șterge, un singur obiect este dedus din cotă După ce piatra funerară este șters din Active Directory (în mod implicit, acest lucru se va întâmpla după de zile), cota utilizatorului va fi crescută din nou În mod implicit, o piatră funerară este tratată ca fiind creată, dar această setare poate fi modificată Consultați Rețeta pentru cum să faceți acest lucru Deoarece cotele pot fi atribuite utilizatorilor, grupurilor și computerelor, este posibil ca mai multe cote să fie asociate unui singur utilizator În acest caz, cel mai înalt dintre ei "acţionează" Pentru mai multe informații despre setarea cotei implicite, consultați Rețeta NOTĂ - Cotele nu se aplică membrilor grupurilor Administratori de întreprindere și Administratori de domeniu Dacă este definită o cotă implicită pentru toți utilizatorii, grupurile de administratori specificate nu sunt afectate de aceasta Vezi si Rețeta (Capitolul ) se ocupă cu stabilirea unei cote pentru crearea obiectelor computer, Secțiunea descrie atributele obiectului cotă, Rețeta arată cum să aflați dimensiunea cotei atribuite unui anumit principal de securitate, Rețeta arată cum să determinați factorul de cotă pentru pietre funerare și, în Rețeta , cum să setați cota implicită Găsirea obiectelor de cotă asociate cu un principal de securitate Problemă Doriți să găsiți obiectele de cotă asociate cu un anumit principal de securitate (adică un utilizator, un grup sau un computer) Soluția Folosind interfața liniei de comandă > dsquery quota -part -acct Această rețetă poate fi finalizată numai dacă controlerul de domeniu rulează Windows Server Capitolul Exploatare forestieră, monitorizare și cote Următoarea comandă găsește obiectele cotă asociate cu utilizatorul RAL-LENCORPXrallen sub cheia dc-ral encorp,dc=com: > dsquery quota -part dc-ral encorp,dc-com -acct RALLENCORPXrallen Un comentariu Utilitarul dsquery poate găsi cote care sunt direct atribuite principalului de securitate al cărui SID este specificat în atributul msDS-QuotaTrustee Determină SID-ul membrului dorit și caută obiectele cotă în care este listat Totuși, aceasta nu este cea mai bună soluție, deoarece utilizatorul poate, de exemplu, să fie membru al unui grup căruia i se atribuie și o cotă, caz în care utilitarul dsquery nu va găsi acest obiect cotă O modalitate și mai eficientă de a rezolva problema este să citiți valoarea atributului tokenGroups de pe obiectul utilizator, care conține SID-urile tuturor grupurilor cărora le aparține utilizatorul și apoi să interogați obiectele cotă alocate acelor grupuri Consultați Rețeta pentru un algoritm pentru a determina cota efectivă a utilizatorului Vezi si Rețeta vorbește despre crearea unui obiect cotă Modificarea greutății obiectelor îngropate în raport cu cota Problemă Este necesară modificarea coeficientului de greutate al obiectelor îngropate, în baza căruia se anulează cota stabilită pentru acestea Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Conectați-vă la partiția ai cărei parametri doriți să configurați (această setare trebuie specificată separat pentru fiecare partiție) În panoul din stânga, extindeți ramura pentru această secțiune Faceți clic dreapta pe obiectul cn=NTDS Quotas și selectați Proprietăți din meniul contextual care se deschide Această rețetă poate fi finalizată numai dacă controlerul de domeniu rulează Windows Server Modificarea factorului de ponderare a obiectelor îngropate Setați atributul msDS-TombstoneQuotaFactor la orice valoare între și Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF denumit change tornbstone quota ldf cu următorul conținut: dn: cn=NTDS Quotes changetype: modifica înlocui msDs-TombstoneQuotaFactor msDs-TombstoneQuotaFactor: Apoi rulați următoarea comandă: > Idifde -v - -f change tombstone quota Idf Folosind un script VBScript ' Acest cod modifică factorul de cotă pentru partiția dată ' corespunzătoare obiectelor îngropate ' - CONFIGURARE SCRIPT - strPartitionDN - " " ' De exemplu - dc-ral encorp dc-com IntTombstoneFactor ■ ' De exemplu: '-END CONFIGURARE- set objPart - GetObjectCLDAP //cn-NTDS Quotas " & strPartitionDN objPart Put "msOs-ToaibstoneQuotaFactor" intTombstoneLifetime objPart Setlnfo WScrlpt Echo "Setați factorul cotei de piatră funerară pentru " & strPartitionDN & " la " & IntTombstoneFactor Un comentariu Coeficientul de greutate pentru piatră funerară determină ce procent din cotă va fi perceput atunci când un obiect este pus în piatră funerară În mod implicit, fiecare obiect cu pietre funerare este luat ca un obiect creat Aceasta înseamnă că, dacă unui utilizator i se atribuie o cotă de obiecte, atunci după ștergerea aceluiași număr de obiecte, nu le va putea crea sau șterge până când pietrele funerare nu vor fi șterse din Active Directory Greutatea pietrei funerare este stocată în atributul msDs-TombstoneQuotaFactor al containerului NTDS Quota asociat cu partiția de director După cum sa menționat mai sus, fiecare obiect piatră funerară contează ca un obiect creat și, prin urmare, atributul msDs-TombstoneQuotaFactor este implicit la Dacă setați acest atribut la, de exemplu, , atunci cu o cotă de obiecte, utilizatorul va putea șterge (adică creați de pietre funerare) deoarece x % = Uneori, utilizatorilor li se permite să ștergă orice număr de pietre funerare, limita este doar la crearea lor (atributul msDs-TombstoneQuotaFactor ar trebui să fie setat la ) Capitolul Exploatare forestieră, monitorizare și cote Specificarea unei cote pentru principalii de securitate dintr-o secțiune specificată Problemă Trebuie să setați o cotă care, în mod implicit, se va aplica tuturor principalilor de securitate dintr-o anumită partiție de director Soluția Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Conectați-vă la partiția de director ale cărei setări doriți să le configurați (această setare trebuie specificată separat pentru fiecare partiție) În panoul din stânga, extindeți ramura pentru această secțiune ț Faceți clic dreapta pe obiectul cn=NTDS Quotas și selectați comanda Properties din meniul contextual care se deschide ' Setați atributul msDS-DefaultQuota la numărul de obiecte pe care directorii de securitate au voie să le creeze dacă nu au setate cote personale Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF numit seț default quota Idf cu următorul conținut: dn: cn-NTDS Quotas changetype: modify replace: msDs-DefaultQuota msDs-DefaultQuota: Apoi rulați următoarea comandă: > Idifde -v - -f set default quota Idf Folosind un script VBScript Acest cod setează cota implicită pentru partiția dată " CONFIGURARE SCRIPT - strPartitionDN - " " ' De exemplu: dc-ra encorp dc-com IntDefaultQuota - ' De exemplu: ' END CONFIGURATION set objPart - GetObjectCLDAP://cn-NTDS Quotas " & strPartitionDN ) objPart Put ,'msOs-DefaultQuota', intDefaultOuota objPart Setl fo Această rețetă poate fi executată numai dacă controlerul de domeniu rulează Windows Server Determinarea părții utilizate din cotă WScript Echo "Setați cota implicită pentru " & strPartitionDN & " la " & intDefaultQuota Un comentariu Cel mai simplu mod de a determina cota implicită pentru toți utilizatorii ale căror conturi sunt stocate într-o anumită partiție de director este să setați valoarea atributului msDS-DefaultQuota al containerului NTDS Quotas situat în aceeași partiție de director Acest atribut conține dimensiunea cotei acelor utilizatori pentru care nu sunt specificate cote personale Ar trebui luată în considerare setarea acestui atribut, deoarece se aplică tuturor principalilor de securitate care nu sunt administratori Dacă îl setați la , de exemplu, computerele nu vor putea să-și actualizeze în mod dinamic înregistrările DNS într-o zonă integrată AD, deoarece această operațiune necesită crearea unui obiect Determinarea părții utilizate din cotă Problemă Este necesar să aflați ce parte din cota pentru crearea de obiecte a utilizat deja membrul specificat al sistemului de securitate Soluția Porțiunea utilizată a cotei poate fi determinată în mai multe moduri În primul rând, acest lucru se poate face cu comanda dsget de mai jos: > dsget user '' " -part -qlimit -qused Acesta va afișa limita de cotă curentă a utilizatorului și porțiunea deja utilizată O comandă similară, dsget computer, afișează informații despre un computer, în timp ce comanda dsget group afișează informații despre un grup Utilizatorii pot determina singuri cât de mult din cota lor au cheltuit deja solicitând valorile atributelor msDs-Quotallsed și msDs-QuotaEffective ale containerului cn=NTDS Quotas din partiția lor de director Aceste două atribute sunt calculate, ceea ce înseamnă că Active Directory determină automat valorile lor pentru utilizatorul care le-a solicitat (consultați Rețeta pentru mai multe despre atributele calculate) Atributul msDs-Quotallsed returnează porțiunea utilizată a cotei, iar atributul msDs-QuotaEffective returnează cota efectivă a utilizatorului Alternativ, puteți citi valoarea atributului msDs-TopQuotaUsage al containerului cn-NTDS Quotas al partiției căreia îi aparține utilizatorul Acest atribut cu valori multiple conține o listă de principalii de securitate cu cele mai mari valori cheltuite ale cotei Fiecare Această rețetă poate fi finalizată numai dacă controlerul de domeniu rulează Windows Server Capitolul Exploatare forestieră, monitorizare și cote elementul din listă conține text într-un format asemănător XML care specifică SID-ul principalului de securitate și porțiunea din cotă pe care principalul a folosit-o Valoarea posibilă a acestui atribut este dată mai jos în secțiunea de comentarii Un comentariu Dacă există cote de creare a obiectelor în Active Directory, utilizatorii trebuie să fie informați despre acestea (sau să li se furnizeze instrucțiuni despre cum să își stabilească propriile cote) Există mai multe modalități de a afla cota utilizatorului În special, puteți obține informații despre utilizarea "maximală" a cotelor Fiecare valoare a atributului cu valori multiple msDs-TopQuotallsage conține informații despre unul dintre principalii de securitate care a consumat cea mai mare parte a cotei sale Cu toate acestea, ceea ce înseamnă "cel mai mult" este necunoscut la momentul publicării acestei cărți Informația este prezentată ca format text, care amintește și de XML Conține SID-ul membrului de securitate ( ), porțiunea utilizată a cotei ( ), numărul de obiecte tombstoned ( ) și numărul de obiecte care sunt încă active ( ), adică nu mormânt Conținutul atributului msDs-TopQuotaUsage poate fi, de exemplu: " Dn: CN-NTDS Cote DOral encorp DOcom > msDS-TopQuotaUsage: DC=rallencorp DOcom Sl- - - - - - - - - - - - - - numărate DC=ra encorp,DOcom Sl- - DOra encorp, DOcom Sl- - - Vezi si Rețeta vorbește despre definirea unei cote care este direct atribuită unui principal de securitate Copiere de rezervă și restaurare a unui catalog, obiecte șterse Introducere Arborele de informații Active Directory (Arborele de informații director, DIT) este implementat folosind mecanismul ESE (Extensible Storage Engine) ca bază de date tranzacțională Fișierul principal al bazei de date, ntds dit, este stocat în directorul %SystemRoot%\NTDS în mod implicit, dar îi puteți schimba locația în timpul instalării serviciului de director sau ulterior folosind comanda ntdsutil (vezi Rețeta ) Informațiile despre fiecare tranzacție de adăugare sau actualizare a informațiilor din baza de date sunt înregistrate în fișierul jurnal edb log, care se află în același director cu fișierul ntds dit Când dimensiunea jurnalului atinge MB, sistemul va începe să-și creeze fișierele suplimentare (de exemplu, edb log), fiecare dintre acestea putând, de asemenea, "crește" până la MB După ce o tranzacție este stocată în baza de date, fișierul jurnal care conținea anterior este șters și reutilizat În general, fișierele jurnal de tranzacții sunt păstrate în cazul în care un controler de domeniu este oprit în mod neașteptat sau eșuează Când este repornit, Active Directory va putea reda tranzacțiile care sunt înregistrate, dar care nu au fost încă salvate pe disc Puteți determina care tranzacții nu sunt confirmate utilizând informațiile despre ultima tranzacție confirmată (aceste informații sunt stocate în fișierul edb chk) Încă două fișiere speciale de MB fiecare nu conțin date - sunt furnizate în cazul în care nu există spațiu liber pe disc atunci când Active Directory trebuie să scrie modificări Pentru a restabili o parte din Active Directory, sau chiar întregul director, dacă este necesar, trebuie să dezvoltați în prealabil o strategie eficientă de backup Se poate face o copie de rezervă a datelor în timp ce serviciul de director rulează, eliminând nevoia de a-l opri în mod regulat Restaurarea datelor din Active Directory, fie că este vorba despre un singur obiect, un subarboresc sau chiar o întreagă bază de date, este foarte simplă - doar Capitolul Porniți controlerul de domeniu doar într-un mod sigur special numit modul de recuperare a serviciului de director (în care acest serviciu nu este activ) Un administrator Active Directory trebuie să fie conștient de modul în care sistemul gestionează obiectele șterse, deoarece acest lucru afectează backupul și ștergerea datelor Când un obiect este eliminat din catalog, este creat un așa-numit obiect piatră funerară, care conține un mic subset de o sută de atribute Acest obiect va fi plasat în containerul cn=Deleted Objects situat în aceeași partiție cu obiectul original Numele unui obiect piatră funerară are următorul format: \OAOEI , unde este numele distinctiv relativ al obiectului original, este GUID-ul său și \ este un caracter nul Pentru de exemplu, după ștergerea obiectului utilizator din numit jsmith, piatra funerară corespunzătoare va primi un nume distinctiv CN=jsmith\ ADEL:fcelca e-a ec- a - el-c e d c CN"Deleted Objects DC=ra encorp DC"com După o perioadă fixă de timp, numită timp de piatră funerară (care este de de zile în mod implicit), piatra de mormânt este ștearsă definitiv din Active Directory și nu o puteți restaura Existența pietrelor funerare trebuie reținută atunci când se proiectează o strategie de backup, deoarece copiile de rezervă nu pot fi păstrate dincolo de perioada pietrelor funerare Dacă încercați să restaurați o copie de rezervă mai veche, pietrele funerare pot fi "reînviate" În circumstanțe normale, restaurarea neautorizată a unei copii de siguranță nu are ca rezultat obiecte care existau la momentul copiei de rezervă, dar care au fost șterse ulterior Înainte de a restaura obiecte dintr-o copie de rezervă, Active Directory verifică dacă există pietre funerare corespunzătoare Dacă un astfel de obiect este găsit, sistemul va "înțelege" că a fost șters după crearea copiei de rezervă Dacă piatra funerară a obiectului a expirat deja (de exemplu, dacă copia de rezervă a fost cu mai puțin de de zile înainte de restaurare), v Active Directory nu are nicio modalitate de a determina dacă obiectul a fost șters și îl va restaura pur și simplu din copie de rezervă la starea inițială obiectele se numesc zombi Ora de piatră funcțională a obiectelor Active Directory șterse este setată în atributul tombStoneLIfetime al cn=Directory Service cn=Windows NT cn-Serv ces,cn=Con-f gurati on object Anatomia unui obiect îngropat În Active Directory', pietrele funerare sunt stocate în containerul de obiecte șterse, situat pe aceeași partiție cu obiectul original În mod implicit, vizualizarea acestui container nu este permisă; acest lucru se poate face folosind obiectul de control LDAP (vezi rețeta - ) Unele dintre atributele stocate în pietre funerare sunt descrise în Tabelul NOTĂ - - Atributele stocate în pietre funerare sunt reprezentate de obiecte attributeSchema care au setat bitul (zecimal ) Arhivarea datelor este mai bună decât Directory Tabelul Cele mai importante atribute ale obiectelor îngropate Descrierea atributului isDeleted Conține TRUE dacă obiectul a fost șters lastKnownParent Numele distinctiv al containerului în care a locuit obiectul original Acest atribut este nou pentru Windows Server nume Numele distinctiv relativ al obiectului original userAccountControl Copiat din obiectul original când este șters Disponibil numai pentru obiecte utilizator și computer objectSID Copiat din obiectul original când este șters Disponibil numai pentru obiecte utilizator și computer sAMAccountName Copiat din obiectul original când este șters Disponibil numai pentru obiecte utilizator și computer Arhivarea datelor Director activ Problemă Doriți să faceți o copie de rezervă a datelor din Active Directory pe bandă sau disc Soluţie Creați o copie de rezervă a stării sistemului care include fișierele Active Directory de pe controlerul de domeniu Următoarele sunt instrucțiuni pentru crearea unei astfel de copii de rezervă folosind utilitarul NtBackup instalat pe computere care rulează Windows și Windows Server Utilizarea interfeței grafice cu utilizatorul Selectați comanda din meniul Start AII Programs (Programe în Windows ) ► Accesorii ► System Tools ► Backup (Toate programele ► Accesorii ► System Tools ► Data Backup) Faceți clic pe linkul Mod avansat Deschideți fila Backup Bifați caseta de validare System State Bifați casetele pentru acele fișiere, directoare și unități pe care doriți să le faceți copii de rezervă aiu i lava yu Copiere de rezervă și restaurare a unui director, obiecte șterse În caseta combinată Destinația copiei de rezervă, selectați Fișier (Fișier) sau Container (bandă), în funcție de locul în care ar trebui să fie creată copia de rezervă În câmpul Backup media sau file name, introduceți un nume de fișier sau selectați o bandă Faceți dublu clic pe butonul Start Backup Folosind interfața liniei de comandă Utilitarul NtBackup acceptă mai multe opțiuni de linie de comandă care vă permit să inițiați o copie de rezervă fără a utiliza interfața grafică cu utilizatorul Sintaxa completă a acestui utilitar pentru Windows este descrisă în MS KB (Cum se utilizează parametrii liniei de comandă cu comanda "Ntbackup"), iar sintaxa sa pentru Windows Serve este descrisă în MS KB (CUM SE: Utilizați linia de comandă) Parametrii cu comanda Ntbackup în Windows Server ) Un comentariu Se poate face backup unui controler de domeniu fără a dezactiva serviciile care rulează pe acesta, ceea ce simplifică foarte mult munca administratorului Deoarece datele Active Directory sunt considerate parte a datelor de stare a sistemului, arhivarea datelor de stare a sistemului este suficientă pentru a le face copii de rezervă; în același timp, puteți crea copii de rezervă ale altor foldere și unități Datele despre starea sistemului de pe un controler de domeniu includ următoarele: Despre fișierele de boot; Despre registrul de sistem; O baza de date de înregistrare a claselor COM+; Despre fișierele Active Directory; Despre directorul SYSVOL; Despre baza de date de certificate (dacă controlerul de domeniu acționează ca un server de certificate) Vezi si Rețeta se referă la schimbarea orei de îngropare a obiectelor Consultați MS KB (Copia de rezervă a Active Directory are o durată de viață utilă de de zile), MS KB (CUM SE: Utilizați programul de backup pentru a face backup și a restabili starea sistemului în Windows ), MS KB (Cum se utilizează comanda Parametri de linie cu comanda "Ntbackup", MS KB (CUM PENTRU: Utilizați caracteristica de copiere de rezervă pentru a face copii de rezervă și a restaura date în Windows Server ) și, în final, MS KB (CUM PENTRU: Utilizați parametrii de linie de comandă cu comanda Ntbackup în Windows Server ) jo£ i lepcddiiycK controler de domeniu Repornirea unui controler de domeniu în modul de restaurare a serviciilor de director Problemă Trebuie să reporniți controlerul de domeniu în modul Director Services Restore Soluţie Pentru a pune serverul în modul Directory Service Restore, acesta trebuie repornit După ce serverul trece testul Power-On Seif (POST), apăsați tasta F pentru a afișa meniul de pornire (Figura ) Selectați Modul de restaurare a serviciilor de director din acest meniu eu"? "E; ;■ ■- ; t WQC W>Șt recțj Yi" Nu " S" ^Te rog selecteaza o optiune:' Safe Hode' Ș ■; Sk, "Safe Hode with Hetworking" • v : Safe Hode witb Counand Prowpt S-' ' ' S- • " " J ■ Activaţi modul VGR ■ LJED st Configuraţie bună cunoscută Dcbugging Mode &, ■" *• ■■ Porniți Windows MogiaIIr • ntdsutil "restaurare autentificare" "restaurare obiect cn=jsmith ou"Sales dc=rallencorp dc-com" q Subarborele poate fi restaurat cu următoarea comandă: > ntdsutil "auth rest those" "restore subtree ou=Sales dc-rallencorp dc-com" q Reporniți computerul Procesul de restaurare a obiectelor reprezentând utilizatori, grupuri, computere și trusturi are anumite particularități, despre care puteți afla despre MS KB și MS KB Un comentariu Dacă un administrator sau un utilizator șterge din greșeală un obiect important sau un subarboresc întreg din Active Directory, acesta poate fi restaurat - principalul lucru este că există o copie de rezervă care conține aceste obiecte Și chiar dacă nu aveți o copie de rezervă, o puteți face atâta timp cât controlerul de domeniu rulează Windows Server O altă modalitate de a restaura obiectele șterse este descrisă în Rețeta Pentru a restaura unul sau mai multe obiecte, urmați aceiași pași ca și pentru o restaurare neautorizată, apoi utilizați comanda ntdsutil pentru a marca obiectele ca fiind autorizate După repornirea din nou, controlerul de domeniu va replica modificările făcute de când directorul a fost restaurat dintr-o copie de rezervă, cu excepția celor care se referă la obiecte sau un subarboresc marcat ca autorizat Pentru aceste obiecte, Active Directory' va incrementa USN (Update Sequence Number) valoare astfel încât acestea să fie replicate altor controlere de domeniu Utilitarul ntdsutil poate fi folosit și fără a restaura mai întâi directorul, în cazurile în care obiectul a fost șters accidental și modificarea nu a fost încă replicată altor controlere de domeniu Când faceți acest lucru, trebuie să vă asigurați că controlerul de domeniu nu a efectuat încă replicarea și fie să dezactivați acest proces pe acesta, fie să faceți obiectul autorizat înainte de efectuarea actualizării ІІb Capitolul Vezi si Rețeta arată cum să reporniți computerul în modul Director Service Restore, iar Rețeta arată cum să recuperați obiectele șterse Vă recomandăm să citiți MS KB (Restaurarea autorizată a Active Directory și impactul asupra trusturilor și conturilor de computer) și MS KB (Restaurarea autorizată a grupurilor poate duce la informații inconsecvente privind apartenența la controlerele de domeniu) Recuperare completă autorizată Problemă Este necesară o restaurare completă autorizată a bazei de date Active Directory deoarece majoritatea datelor pe care le conține s-au pierdut Soluţie Urmați pașii din Rețeta , dar nu reporniți computerul după recuperare Restaurați baza de date folosind următoarea comandă, apoi reporniți computerul > ntdsutil "restaurare autentificare" "restaurare bază de date" q Un comentariu O restaurare completă autorizată, cu pierderea inevitabilă a datelor, este o ultimă soluție Înainte de a o efectua, este indicat să contactați suportul Microsoft pentru a afla dacă există alte posibilități Procesul de recuperare autorizat trebuie mai întâi testat pe un sistem experimental și documentat în cazul în care mai trebuie să recurgeți la această măsură Vezi si Rețeta descrie cum să reporniți computerul în modul de restaurare a serviciului director Citiți MV KB (Restaurarea autorizată a Active Directory și impactul asupra trusturilor și conturilor de computer), MS KB (CUM SE: Efectuați o restaurare autorizată la un controler de domeniu în Windows ) și MS KB (Restaurarea autorizată a grupurilor poate rezulta în Informații inconsecvente privind apartenența la controlerele de domeniu) Verificarea integrității fișierului DIT Problemă Este necesar să se verifice integritatea și semantica fișierului DIT pentru a afla dacă nu este corupt și nu conține intrări corupte muta ii i-file ^-* Z Soluţie Folosind interfața liniei de comandă Reporniți computerul în modul de restaurare a serviciilor de director Apoi rulați următoarele comenzi: > fișiere ntdsutil intcgrity qq > ntdsutil "analiza semantică a bazei de date" "verbose on" merge Un comentariu Fișierul Active Directory DIT (ntds dit) este o bază de date tranzacțională Pentru a-l susține, Microsoft folosește DBMS ESE (Extensible Storage Engine), bazat pe tehnologia Jet și testat de mulți ani în alte produse software, în special în sistemul Microsoft Exchange Astfel, Active Directory are aceleași puncte slabe ca o bază de date obișnuită Pentru a detecta posibile daune ale fișierului său, utilitarul ntdsuti efectuează o verificare a integrității la nivel scăzut, verifică anteturile bazei de date și verifică consistența tabelului Citește fiecare octet al bazei de date și, prin urmare, este destul de lent Performanța utilitarului depinde de dimensiunea fișierului DIT și de viteza hardware-ului Conform unor estimări de la Microsoft pentru Windows , acesta poate procesa aproximativ GB de date într-o oră Utilitarul ntdsutil acceptă două comenzi: integritate - pentru a verifica integritatea datelor, semantică - pentru a verifica semantica A doua comandă este, de asemenea, folosită pentru a analiza conținutul bazei de date, a verifica contoarele de linkuri, metadatele de replicare, descriptorii de securitate și așa mai departe Dacă se găsesc erori, acestea pot fi remediate folosind comanda fixup Cu toate acestea, înainte de a executa această comandă, trebuie să vă asigurați că aveți o copie de rezervă nouă, deoarece, dacă rezultatul este nedorit, corupția nu numai că nu va fi reparată, ci și va crește semnificativ Vezi si Rețeta descrie cum să reporniți computerul în modul Director Service Restore Alternativ, puteți consulta MS CV (CUM SE: Completează analiza semantică a bazei de date pentru baza de date Active Directory utilizând Ntdsutil exe) Mutarea unui fișier DIT Problemă Doriți să mutați fișierul Active Directory DIT pe o unitate nouă care are capacitate și performanță mai bune ai" Capitolul Copiere de rezervă și restaurare a unui director, elemente șterse Soluţie Folosind interfața liniei de comandă Reporniți computerul în modul de restaurare a serviciilor de director Apoi rulați următoarea comandă, înlocuind parametrul cu o nouă locație de fișier (de exemplu, d:\NTDS): > fișierele ntdsutil "mută db în " qq > fișierele ntdsutil "mutați jurnalele în '' qq Comentariu Fișierul bazei de date Active Directory (ntds dit) poate fi mutat independent de fișierele jurnal În soluția de mai sus, prima comandă mută fișierul bazei de date, a doua mută fișierele jurnal După efectuarea acestei operații, merită să verificați integritatea baza de date Vezi rețeta pentru cum să faci asta Vezi si Rețeta arată cum să reporniți computerul în modul de restaurare a serviciului de director, iar Rețeta arată cum să verificați integritatea fișierului DIT Active Directory De asemenea, consultați MS KB (CUM SĂ MUȚI FIȘIERUL Ntds dit sau fișierele jurnal) ) și MS KB (IIOW TO: Utilizați Ntdsutil pentru a gestiona fișierele Active Directory din linia de comandă în Windows ) Repararea sau repararea unui fișier DIT Problemă Active Directory DIT trebuie să fie corectat sau recuperat după o întrerupere de curent sau o defecțiune a unui controler de domeniu Soluţie Folosind interfața liniei de comandă Reporniți computerul în modul de restaurare a serviciilor de director Apoi utilizați următoarea comandă pentru a restaura baza de date pe baza informațiilor din fișierele jurnal: > fișierele ntdsutil recuperați qq Dacă încă primiți mesaje de eroare, va trebui să apelați la următoarea comandă, care efectuează o restaurare la nivel scăzut a bazei de date, dar poate duce la pierderea de informații: > repararea fișierelor ntdsutil qq Defragmentarea unei baze de date fără a închide serviciile e" Dacă restaurarea cu prima sau a doua comandă reușește, verificați integritatea bazei de date (vezi Rețeta ) Un comentariu Cel mai probabil nu va trebui niciodată să corectați sau să restaurați baza de date Active Directory Cel de-al doilea pas este cel mai probabil să fie efectuat atunci când controlerul de domeniu este oprit în mod neașteptat, cum ar fi din cauza unei întreruperi de curent, ceea ce face ca cele mai recente modificări să nu fie salvate în baza de date Când controlerul de domeniu repornește, sistemul însuși va efectua o recuperare soft, adică va încerca să scrie modificările înregistrate în jurnal în baza de date Deoarece acest proces este automat, este puțin probabil să fie nevoie să rulați manual comanda ntdsutil gecover și, dacă o faceți, este puțin probabil să vă ajute A doua comandă, ntdsuti gerai, este capabilă să remedieze erorile de nivel scăzut, dar acest lucru se face adesea cu prețul pierderii de date Vă rugăm să rețineți că îl utilizați pe propriul risc! Această comandă trebuie utilizată cu prudență și este recomandabil să consultați asistența Microsoft înainte de a o rula Ei bine, dacă distrugi și mai mult baza de date prin executarea comenzii, va trebui să faci o reinstalare completă a controlerului de domeniu Cum să eliminați un controler de domeniu este descris în Rețeta (Capitolul ) Vezi si Rețeta este despre repornirea computerului în modul Directory Service Restore, iar Rețeta este despre verificarea integrității fișierului DIT Active Directory Vă rugăm să consultați MS KB (H W TO: Utilizați Ntdsutil pentru a gestiona fișierele Active Directory din linia de comandă în Windows ) Defragmentarea unei baze de date fără a dezactiva serviciile pe un controler de domeniu Problemă Doriți să defragmentați baza de date Active Directory fără a dezactiva serviciile care rulează pe controlerul de domeniu Această operație poate fi utilă după ștergerea unui număr mare de obiecte Soluția Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Această rețetă poate fi utilizată numai dacă nivelul funcțional al domeniului este Windows Server bZU l lava b Copiere de rezervă și restaurare a unui catalog, obiecte șterse Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele și parola unui utilizator care este membru al grupului Administratori și faceți clic pe butonul OK Executați comanda Răsfoire ► Modificare (Căutare ► Modificare) Lăsați câmpul Dn (Nume distinctiv) necompletat și introduceți DoOnlineDefrag în câmpul Atribut În câmpul Valori, introduceți valoarea În caseta derulantă Operație, selectați Adăugare Faceți clic pe butonul Enter Faceți clic pe butonul Run Folosind interfața liniei de comandă Creați un fișier LDIF denumit online defrag ldf cu următorul conținut: dn: changetype: modifică înlocuiți: DoOnlineDefrag DoOnlineDefrag: Apoi rulați această comandă: > Idifde -v -i -f online defrag ldf Folosind un script VBScript Acest cod se va defragmenta în de secunde ' CONFIGURARE SCRIPT strDC - " " ' De exemplu: dcOl ' END CONFIGURATION - - set objRootDSE - GetObject ("LDAP://" & strDC & "/RootDSE") objRootDSE Puneți "DoOnlineDefrag", ObjRootDSE SetInfo WScrlpt Echo "S-a inițiat cu succes o defragmentare online" Un comentariu Windows Server a introdus o nouă caracteristică numită defragmentare fără a dezactiva serviciile care rulează pe un controler de domeniu În mod implicit, această defragmentare este efectuată pe toate controlerele de domeniu la fiecare ore Esența acestui proces este că spațiul liber din fișierul bazei de date Active Directory (ntds dit) este combinat într-un singur bloc, dar fișierul rămâne de aceeași dimensiune Pentru a începe manual defragmentarea, trebuie să setați atributul DoOnlineDefrag al obiectului RootDSE la timpul maxim în care Determinarea cantității de spațiu liber dintr-un fișier DIT finalizarea defragmentării în secunde Trebuie să fiți membru al unuia dintre grupurile administrative pentru a putea scrie acest atribut Vezi si Rețeta descrie specificul procesului de defragmentare pentru a dezactiva serviciile care rulează pe un controler de domeniu Consultați MS KB (Procesul de colectare a gunoiului din baza de date Active Directory) Determinarea cantității de spațiu liber dintr-un fișier DIT Problemă Este necesar să se determine cantitatea de spațiu liber disponibil în fișierul ggg Dacă se dovedește a fi foarte mare, puteți reduce dimensiunea fișierului Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă de comanda Start ► Run (Start ► Run), rulați programul regedit exe În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics În panoul din dreapta, faceți dublu clic pe opțiunea Garbage Collection În caseta de dialog care se deschide, introduceți valoarea în câmpul Value data Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add HKLM\System\CurrentControlSet\Services\NTDS\Diagnost cs /v " Colectarea gunoiului" /t REG DWORD /d Folosind un script VBScript ' Acest cod include o înregistrare a informațiilor despre gratuit ' spațiu în fișierul DIT din jurnalul de evenimente ' CONFIGURARE SCRIPT strDCName - " '' ' De exemplu: dcl ' FINE CONFIGURARE- const HKLM - &H strNTDSReg - "SYSTEM\CurrentCcntrolSet\Services\NTDS\Diagncstics" set objReg - GetObjectC "winmgmtsrW" & strDCName & "\root\default:StdRegProv") objReg SetDWORDValue HKLM strNTDSReg, " Garbage Collection" WScrlpt Echo "Înregistrare pentru colectarea gunoiului setată la " Capitolul Un comentariu Când este setată opțiunea de diagnosticare Garbage Collectlon , evenimentul va fi generat după fiecare colectare a gunoiului Intrarea pentru acest eveniment este dată mai jos: tip de eveniment: sursa evenimentului: categoria evenimentului: Evenimentul : Data: timp: utilizator: calculator: informație Baza de date NTDS Colecton de gunoi : : am AUTORITATE NT\CONECTARE ANONIMĂ DCI Descriere: Eveniment intern: Baza de date Active Directory are următoarea cantitate de spațiu pe hard disk Tree rămas Spațiu liber pe hard disk (megaocteți): Spațiu total alocat pe hard disk (megaocteți): Se spune că controlerul de domeniu dcl are un fișier DIT de GB cu MB spațiu liber Vezi si Rețeta descrie cum se efectuează o defragmentare care dezactivează serviciile care rulează pe un controler de domeniu Efectuați o defragmentare cu dezactivarea serviciilor pe un controler de domeniu Problemă Este necesară defragmentarea fișierului Active Directory DIT, dezactivând serviciile care rulează pe controlerul de domeniu, pentru a returna o parte din spațiul liber sistemului de operare Soluţie Folosind interfața liniei de comandă Reporniți computerul în modul de restaurare a serviciilor de director Verificați integritatea fișierului DIT (consultați Rețeta pentru cum să faceți acest lucru) Sistemul este acum gata să defragmenteze directorul Rulați următoarea comandă pentru a crea o copie comprimată a fișierului DIT (asigurați-vă că aveți suficient spațiu liber pe hard disk mai întâi - cel puțin % din dimensiunea fișierului DIT curent): > ntdsutil fi Ies "compact to '' qq Efectuarea unei defragmentări cu dezactivarea serviciilor Ștergeți fișierele jurnal de tranzacții din directorul curent NTDS: > del \* log După ce v-ați asigurat că există suficient spațiu liber pe disc, salvați un timp fișierul DIT curent într-un alt folder, apoi mutați copia comprimată în locul fișierului original: > apoi \(] dI \pYz og d dI > apoi \r\ijs jI \r\ y ji Pentru a verifica integritatea noului fișier, urmați pașii din Rețeta După ce v-ați asigurat că totul este în ordine, reporniți computerul în modul normal Dacă jurnalul de evenimente nu conține niciun mesaj de eroare, asigurați-vă că se face o copie de rezervă a datelor controlerului de domeniu cât mai curând posibil Un comentariu Defragmentarea unui controler de domeniu în modul Director Service Restore este recomandată atunci când un număr mare de obiecte sunt eliminate din Active Directory și doriți să reduceți dimensiunea fișierului acestuia Uneori, defragmentarea se poate face "din mers" fără a dezactiva serviciile care rulează pe controlerul de domeniu Spațiul liber din fișierul de serviciu director care este eliberat atunci când obiectele sunt șterse este reutilizat și, în timp, baza de date crește pe măsură ce mai multe obiecte sunt adăugate la ea Prin urmare, defragmentarea->o procedură descrisă în această rețetă este rar efectuată În plus, există un anumit risc, deși minor, asociat cu acest lucru, așa că nu ar trebui utilizat decât dacă este absolut necesar Defragmentarea se realizează și după ce Windows Server este instalat pe un controler de domeniu, care implementează o nouă caracteristică care reduce cantitatea de spațiu pe disc ocupată de fișierele DIT, și anume caracteristica de stocare a descriptorilor de securitate într-o singură instanță Cu acesta, descriptorii de securitate unici sunt păstrați într-un singur loc, indiferent de câte obiecte îi aplică, în timp ce în Windows , același descriptor a fost stocat separat pentru fiecare obiect Când efectuați o defragmentare, este important să determinați corect cerințele de spațiu pe disc Dacă intenționați să creați o copie comprimată a fișierului DIT pe aceeași unitate cu fișierul curent, trebuie să vă asigurați că unitatea are cel puțin % mai mult spațiu liber decât dimensiunea curentă a fișierului DIT Dacă intenționați să salvați fișierul original pe același disc, acesta trebuie să aibă atât spațiu liber cât ocupă fișierul Și, desigur, ar trebui să lăsați spațiul necesar pentru ca sistemul să funcționeze Vezi si Rețeta arată cum să reporniți computerul în modul de restaurare a serviciului director, iar Rețeta arată cum să verificați integritatea DIT- fişier Acordați atenție documentelor MS KB (The Active Directory Capitolul Procesul de colectare a gunoiului bazei de date), MS KB (Defragmentarea bazei de date Active Directory) și MS KB (Efectuarea defragmentării offline a bazei de date Active Directory) Modificarea perioadei de colectare a gunoiului Problemă Doriți să modificați perioada implicită de colectare a gunoiului în Direcția activă Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit În panoul din stânga, deschideți unul câte unul containerele cn=Configuration ► cn=Services ► cn=Windows NT Faceți clic dreapta pe elementul cn=Directory Service și selectați Proprietăți din meniul contextual care apare Setați atributul garbageColPeriod la o valoare care specifică perioada în ore pentru rularea procesului de colectare a gunoiului (valoarea implicită este ) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF denumit change garbage period ldf cu următorul conținut; dn: cn=Directory Service cn-Windows NT cn-Services cn-Configuration tip de modificare: modificare înlocuire: garbageCollPeriod garbageCol Perioada: Apoi rulați această comandă: > Idifde -v - -f change garbage period ldf Folosind un script VBScript ' Acest cod setează perioada implicită de colectare a gunoiului ' - CONFIGURARE SCRIPT - intGarbageCol - ' - TERMINARE CONFIGURARE - set objRootDSE - GetObject("LDAP://RootDSE") set objDSCcnt - GetObjectCLDAP://cn-D rectory Service cn-WINdows NT " & Hcn "Servicii" & objRootDSE Get("configurationNamingContext") ) objDSCont Put "garbageCol Period" intGarbageCol objDSCont SetInfo WScrlpt Echo "Setați cu succes intervalul de colectare a gunoiului la " & intGarbageCol Înregistrarea operațiunii de îndepărtare a obiectelor îngropate Un comentariu Când un obiect este eliminat dintr-o configurație, domeniu sau secțiune de aplicație, este creat un obiect piatră funerară care conține un subset al atributelor sale Această piatră funerară este păstrată în Active Directory pentru o anumită perioadă de timp, numită timp de piatră funerară, care este implicit de zile, după care este, de asemenea, șters Pentru informații mai detaliate despre timpul de eliminare a obiectelor, vezi rețeta Procesul de colectare a gunoiului rulează periodic pe fiecare controler de domeniu Una dintre funcțiile sale este de a elimina obiectele al căror timp de înmormântare a expirat În mod implicit, rulează la fiecare ore, dar puteți modifica acest lucru setând atributul garbageCollPeriod al obiectului cn=Directory Service la o valoare diferită cn=Windows NT cn=Services cn=Configurare Vezi si Rețeta - vă spune cum să modificați sincronizarea pietrelor funerare a obiectelor din Active Directory, iar Rețeta - vă spune cum să înregistrați ștergerea pietrelor funerare Vă recomandăm să consultați documentul MS KB (The Active Directory Database Garbage Collection Process) Înregistrarea operațiunii de îndepărtare a obiectelor îngropate Problemă Doriți să puteți înregistra informații despre numărul de obiecte care au expirat pietre funerare și au fost eliminate din Active Directory prin colectarea gunoiului Soluţie Utilizarea interfeței grafice cu utilizatorul Din fereastra deschisă prin comanda Start ► Run (Start> Run), rulați programul regedit exe În panoul din stânga, deschideți cheia de registry HKEY LOCAL MACHINE\SYSTEM\Current-ControlSet\Services\NTDS\Diagnosbcs În panoul din dreapta, faceți dublu clic pe opțiunea Garbage Collection În câmpul Value data din caseta de dialog care se deschide, introduceți valoarea Faceţi clic pe butonul OK Folosind interfața liniei de comandă > reg add HKLM\System\CiirrentControlSet\Serv ces\NTDS\Diagnost cs /v "b Colectare gunoi" /t REG OWORD /d Capitolul Folosind un script VBScript ' Acest cod permite înregistrarea procesului de colectare a gunoiului • - CONFIGURARE SCRIPT - strDCName - " " intValiie = • - TERMINAREA CONFIGURĂRII - const HKLM - &H strNTDSReg - "SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics" set objReg ■ GetObject("winmgmts:\\" & strDCName & "\root\default StdRegProv") objReg SetOWORDValue HKLM, strNTDSReg " Colectarea gunoiului" IntVal ue WScript Echo "Înregistrarea colectării gunoiului este activată" Un comentariu Următorul este un exemplu de intrare de ștergere a pietrei funerare făcută atunci când parametrul Garbage Collection b conținea o valoare de Tur eveniment: Informații Sursa evenimentului: NTDS General Categoria evenimentului: Colectarea gunoiului ID eveniment: Data: timp : : Utilizator: NT AUTHORITYXANONYMOUS LOGON Computer: DCI Descriere: Eveniment intern: S-a terminat eliminarea obiectelor șterse care au expirat (colectare de gunoi) Numărul de obiecte șterse expirate care au fost eliminate: Vezi si Rețeta (Capitolul ) detaliază modul în care este efectuată înregistrarea de diagnosticare, iar Rețeta detaliază procesul de colectare a gunoiului Determinarea dimensiunii bazei de date Active Directory Problemă Trebuie să determinați dimensiunea bazei de date Active Directory Soluţie Folosind interfața liniei de comandă Dacă controlerul de domeniu este pornit în modul de restaurare a serviciului de director, puteți utiliza următoarea comandă ntdsutil pentru a determina dimensiunea bazei de date Active Directory: > informații despre fișierele ntdsutil Găsirea obiectelor de la distanță Dacă executați comanda specificată în modul de funcționare normal, veți primi următorul mesaj de eroare: *** Eroare: Operarea este permisă numai atunci când este pornit în modul de restaurare a sistemului de operare "setați SAFEBOOT OPTION*DSREPAIR" să înlocuiască - NU ESTE RECOMANDAT Afirmă că prin setarea variabilei de mediu SAFE PTI N"DS-REPAIR, puteți permite utilitarului ntdsuti să ruleze în modul normal, dar acest lucru nu este recomandat, deoarece va da permisiunea de a executa alte comenzi ntdsutil care nu sunt atât de inofensive O altă modalitate de a determina dimensiunea unui fișier de bază de date, destul de simplă și sigură, este următoarea Setați comanda Start ► Run (Start> Run), tastați cmd exe și apăsați tasta Enter Apoi tastați cd la promptul de comandă, unde este calea completă către fișierul ntds dit și rulați comanda dl r pentru a lista conținutul directorului cu dimensiunea fiecărui fișier Un comentariu Dimensiunea bazei de date Active Directory pe un controler de domeniu este de obicei dimensiunea fișierului său ntds dit Pe controlere de domeniu diferite, din cauza prezenței modificărilor nereplicate sau a diferențelor de date nereplicate, poate varia ușor chiar și în cadrul aceluiași domeniu Administratorul Active Directory trebuie să țină evidența dimensiunii acestui fișier, deoarece ar trebui să existe întotdeauna suficient spațiu liber pe disc În plus, cunoscând dimensiunea medie a fișierului DIT, este ușor de detectat o creștere bruscă a dimensiunii acestuia, cauzat, de exemplu, de faptul că o aplicație și-a scris propriile fișiere în directorul de date Dacă descoperiți că aproape nu aveți spațiu liber pe disc, puteți muta fișierul bazei de date Active Directory pe alt disc sau, dacă are mult spațiu liber, îl puteți defragmenta în modul Directory Service Restore Vezi si Rețeta este despre mutarea fișierelor Active Directory, Rețeta este despre determinarea cât spațiu liber este disponibil într-un fișier DIT, iar Rețeta - este despre defragmentarea unei baze de date în timp ce dezactivează serviciile care rulează pe un controler de domeniu Găsirea obiectelor de la distanță Problemă Doriți să găsiți obiecte șterse în Active Directory Capitolul Soluţie Utilizarea interfeței grafice cu utilizatorul Porniți utilitarul LDP Rulați comanda Conectare pe ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu la care doriți să vă conectați (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va face fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) Introduceți numele și parola utilizatorului care este administratorul domeniului, apoi faceți clic pe butonul OK Executați comanda Opțiuni ► Controale (Parametri ► Obiecte de control) În Windows Server , selectați controlul Return Deleted Objects din lista Load Predefîned În Windows , introduceți în câmpul Object Identifier și faceți clic pe butonul Checkin Faceţi clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN (nume distinctiv de bază), introduceți cn=Deleted Objects Donename> În zona Scop (zona de căutare), setați comutatorul în poziția One Level (One level) În câmpul Filtru, introduceți specificația filtrului: ( sDeleted=TRUE) Faceți clic pe butonul Opțiuni În zona Căutare tip Caii, setați butonul radio la Extins și faceți clic pe OK Faceți clic pe butonul Run Folosind interfața liniei de comandă La momentul scrierii acestei cărți, niciunul dintre utilitarele standard de linie de comandă nu căuta obiecte la distanță Folosind un script VBScript Căutarea de obiecte la distanță folosind ADSI sau ADO nu este acceptată în prezent Un comentariu Când un obiect este șters din Active Directory, un așa-numit obiect piatră funerară este creat în schimb în aceeași partiție de director din containerul Obiecte șterse Mai multe despre asta în Rețeta Restaurarea obiectelor șterse Containerul de obiecte șterse și conținutul acestuia sunt ascunse în mod implicit și nu apar în programe precum Active Directory Users and Computers și ADSI Edit Pentru a interoga pietrele funerare, utilizați obiectul de control al protocolului Return Deleted Objects LDAP, al cărui OID este și specificați un filtru de căutare care conține condiția (isDeleted-TRUE) Numai membrii grupurilor administrative au voie să caute obiecte îngropate Vezi si Document MSDN Recuperarea obiectelor șterse Restaurarea obiectelor șterse Problemă Obiectele șterse trebuie restaurate în Active Directory Soluția Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu (sau lăsați acest câmp necompletat - în acest caz, conexiunea se va stabili fără participarea serverului) În câmpul Port, introduceți și faceți clic pe OK Rulați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele și parola unui utilizator care are dreptul de a restaura obiectele șterse (în mod implicit, numai administratorii de domeniu pot face acest lucru) Faceţi clic pe butonul OK Rulați comanda Opțiuni ► Comenzi În Windows Server , selectați controlul Return Deleted Objects din lista Load Predefined Pe Windows , introduceți în câmpul Object Identifier și faceți clic pe butonul Checkin Faceţi clic pe butonul OK I Executați comanda Răsfoire ► Modificare (Căutare ► Modificare) În câmpul DN (Nume distinctiv), introduceți numele distinctiv al obiectului șters pe care doriți să îl restaurați Această rețetă poate fi utilizată numai dacă nivelul funcțional al domeniului este Wmdows Server ale I lava іb Copiere de rezervă și restaurare a unui director, obiecte șterse În câmpul Atribut, introduceți o valoare pentru distinguishedName În câmpul Valori, introduceți numele distinctiv original al obiectului În caseta combinată Operație, selectați operațiunea Înlocuire și faceți clic pe butonul Enter În câmpul Atribut, introduceți valoarea isDeleted Ștergeți textul din câmpul Valori În caseta combinată Operație, selectați operația de ștergere Faceți clic pe butonul Enter Dacă este necesar, adăugați atribute obligatorii: în câmpul Atribut, introduceți , în câmpul Valori, , iar în caseta combinată Operație, selectați operația Adăugare Bifați caseta Extins Faceți clic pe butonul Run și informațiile despre rezultatul recuperării vor fi afișate în panoul din dreapta Un comentariu Windows Server vă permite să restaurați obiectele șterse care nu au fost încă blocate Această operațiune este o alternativă la restaurarea autentificată a obiectelor șterse accidental dintr-o copie de rezervă a bazei de date de catalog Dar, deoarece obiectul îngropat conține doar o parte din atributele celui original (vezi Tabelul ), obiectul nu este complet restaurat, ceea ce, desigur, este foarte nedorit Pentru a restaura un obiect îngropat, trebuie să efectuați următorii pași Selectați obiectul de gestionare LDAP numit Return Deleted Objects, al cărui OID este Eliminați atributul isDeleted din obiectul specificat (acest lucru nu se poate face prin simpla setare la FALSE) În atributul distinguishedName, scrieți noul nume al obiectului restaurat Re-creați și completați toate atributele necesare Toate acestea trebuie făcute într-o singură operațiune LDAP După restaurarea obiectului, puteți crea și repopula atributele sale opționale În mod implicit, numai membrii grupurilor administrative au voie să restaureze obiectele șterse Cu toate acestea, gestionarea obiectelor de la distanță poate fi delegată unui alt utilizator prin acordarea acelui utilizator sau unui grup căruia îi aparțin, permisiunea extinsă Reanimate Tombstone În plus, acest utilizator va avea nevoie de dreptul de a modifica atributele obiectului și de a crea obiecte copil în containerul în care obiectul va fi restaurat ib lb modificarea timpului de înmormântare a obiectelor b i ATENŢIE - Permisiunea de a restaura obiecte ar trebui acordată în mod judicios, deoarece utilizatorul care o deține poate restaura obiectul utilizator, poate să îi stabilească parola și să se autentifice ca utilizator Drept urmare, acest utilizator va primi toate permisiunile care au fost acordate acestui cont Vezi si Rețeta vă arată cum să găsiți obiecte șterse Vă recomandăm să consultați și documentul MSDN: Restaurarea obiectelor șterse Modificarea timpului de înmormântare a obiectelor Problemă Doriți să modificați ora prestabilită pentru pietre funerare pentru obiecte Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit În panoul din stânga, deschideți containerele cn=Configuration ► cn= Services ► cn=Windows NT Faceți clic dreapta pe intrarea cn=Directory Service și selectați Proprietăți din meniul contextual care apare Setați atributul tombstoneLifetime la o valoare care specifică numărul de zile în care pietrele funerare vor rămâne în Active Directory (implicit este de zile) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Creați un fișier LDIF denumit change tombstone lifetime ldf cu următorul conținut: dn: cn-Directory Servi ce cn^Windows NT cn=Services cneConfiguratior\ changetype: modify înlocuiți: piatră funerarăLi fetime tombstoneLi fetime: Apoi rulați această comandă: > Idifde -v - -f change tombstone lifet me ldf Folosind un script VBScript Acest cod modifică timpul de piatră funerară a obiectelor - CONFIGURARE SCRIPT - Capitolul intTombstoneLifetime - * - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObject("LOAP://RootDSE") set objDSCont - GetObjectC"LDAP://cn-Directory Service cn-Windows NT " & "cn-Services" & objRootDSE Get("configuraționNamingContext") ) objDSCont Put "tombStoneLifetime" intTambstoneLifetime objDSCont SetInfo WScript Echo "Setați cu succes durata de viață a pietrei funerare la " & intTombstoneLi fetime Un comentariu Proprietatea în cauză, ora prestabilită a pietrei funerare a obiectului, nu ar trebui modificată decât dacă este în mod clar necesar Ca urmare a reducerii timpului de piatră funerară, scade și perioada optimă pentru backup Active Directory Pentru mai multe informații despre pietre funerare și relația lor cu restaurarea Active Directory dintr-o copie de rezervă, consultați Rețeta Vezi si Rețeta este despre procesul de colectare a gunoiului În plus, vă recomandăm să consultați documentele MS KB (The Active Directory Database Garbage Collection Process), MS KB (Backup of the Active Directory Has -Day Useful Life) și MS KB (Lingering Objects May Remain After) Aveți un server de catalog global învechit înapoi) Secțiuni de aplicație Introducere Pe fiecare controler de domeniu, Active Directory conține trei partiții predefinite și, prin urmare, trei contexte de denumire Prima, secțiunea de configurare, este replicată tuturor controlerelor de domeniu din pădure și conține informații la nivelul întregii păduri, cum ar fi topologia rețelei și politicile de interogare LDAP Partiția de schemă este, de asemenea, replicată tuturor controlerelor de domeniu din pădure și conține informații care sunt comune întregii păduri - obiectele de schemă care definesc modul în care sunt stocate și structurate datele Active Directory A treia partiție, partiția de domeniu, se reproduce tuturor controlerelor din domeniu Windows Server a introdus un nou tip de partiție numită partiție de aplicație Pentru el, de obicei sunt instalate controlere de domeniu pe care îi sunt replicate datele Acest lucru oferă administratorilor o mai mare flexibilitate în stocarea și replicarea datelor din Active Directory Dacă un subset de obiecte este utilizat de numai două site-uri, puteți crea o partiție de aplicație care se reproduce la controlerele de domeniu ale acelor site-uri NOTĂ - Deoarece partițiile aplicației nu au fost introduse până în Windows Server , acest capitol se aplică numai controlerelor de domeniu care rulează sistemul de operare respectiv Controlerele de domeniu Windows nu pot conține partiții de aplicație Anatomia unei secțiuni de aplicație Partițiile de aplicații, ca și domeniile, sunt reprezentate în Active Directory de obiectele domainDNS și crossRef situate în containerul Partiții al partiției de configurare Ele sunt denumite la fel ca și domeniile și sunt utilizate pentru o varietate de scopuri Să presupunem că creați o partiție de aplicație care va folosi spațiul de nume curent al pădurii De exemplu, într-o pădure de porumb ral encorp (dc=ral - encorp dc=com), este ușor să creați o aplicație apps rallencorp com (dc=ap-ps,dc=ral encorp dc'com) compartimentare Sau puteți folosi un alt nume creând un nou arbore de denumire, să spunem apps local (dc-apps dc-local) Secțiunile de aplicație sunt adesea imbricate unele în altele Cele mai importante atribute ale obiectelor domainDNS și crossRef legate de secțiunile aplicației sunt descrise în Tabelul și Capitolul Secțiuni de aplicație Tabelul atributele obiectului domainDNS Descrierea atributului dc instanceType Application Partition Relative Distinguished Name Când se creează o Application Partition, acest atribut trebuie setat la Vezi și Rețeta msDs-masteredBy O listă de nume distinctive ale obiectelor nTDSDSA care reprezintă controlerele de domeniu la care este replicată această partiție de aplicație Vezi și rețeta Tabelul atributele obiectului crossRef Descrierea atributului SP Numele distinctiv relativ al obiectului crossRef De obicei, acest atribut conține GUID-ul secțiunii aplicației dnsRoot msDS-NC-Reo ca-tocations Partiția de aplicație Nume complet DNS O listă de nume distinctive ale obiectelor nTDSDSA care reprezintă controlerele de domeniu la care se replic această partiție de aplicație Vezi și rețeta msDS-SDReferenceDomain Domeniul folosit pentru a rezolva descriptorul de securitate Vezi și rețeta nCName Numele distinctiv al obiectului domainDNS al acestei partiții de aplicație systemFlags Un indicator de bit care indică dacă acest obiect crossRef reprezintă o aplicație Vezi și rețeta Crearea și ștergerea unei secțiuni de aplicație Problemă Trebuie să creați sau să ștergeți o secțiune de aplicație Partițiile de aplicație sunt create atunci când datele trebuie replicate la un anumit grup de controlere de domeniu Soluţie Utilizarea interfeței grafice cu utilizatorul Urmați acești pași pentru a crea o secțiune de aplicație Deschideți ADSI Edit Conectați-vă la controlerul de domeniu care va avea noua partiție de aplicație ca copil Crearea și ștergerea unei secțiuni de aplicație În panoul din stânga, faceți clic dreapta pe numele domeniului și selectați Nou ► Obiect din meniul contextual care se deschide Selectați obiectul domainDNS și faceți clic pe butonul Următorul În câmpul Valoare, introduceți un nume pentru partiția aplicației și faceți clic pe butonul Următorul Faceți clic pe butonul Mai multe atribute Vi se va solicita să specificați ce proprietăți doriți să vizualizați Setați comutatorul la Ambele (Toate) Selectați atributul instanceType În câmpul Editare atribut, introduceți o valoare de și faceți clic pe butonul Set Faceţi clic pe butonul OK I Faceți clic pe butonul Terminare Ștergerea unei secțiuni de aplicație se face după cum urmează Deschideți ADSI Edit Conectați-vă la partiția de configurare a pădurii care conține partiția de aplicații, dacă aceasta nu este prezentă în panoul din stânga Extindeți secțiunea de configurare, faceți clic pe containerul Partiții În panoul din dreapta, faceți clic dreapta pe obiectul crossRef care reprezintă secțiunea aplicației și selectați Delete din meniul contextual care apare Faceți clic pe butonul Da pentru a confirma că operația este necesară Folosind interfața liniei de comandă Următoarea comandă creează o partiție de aplicație pe un controler de domeniu: > ntdsutil "dom man" conn "to se " q "create nc NULL' qq Următoarea comandă elimină secțiunea aplicații: > ntdsutil "dom man" conn "to se '' q "delete nc " qq Folosind un script VBScript * Acest cod creează o secțiune de aplicații în folderul rădăcină ' pădure implicită ' CONFIGURARE SCRIPT - strAppPart - " " ' Numele distinctiv al secțiunii de aplicație strServer este ' " ' Donen controller DNS name unde se află secțiunea de aplicații strDescr - " ~ ' Descrierea text a secțiunii aplicației ' - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectCLDAP://" & strServer & "/RootDSE") set objLDAP " GetObjectCLDAP://" & strServer &"/"& objRootDSE Get("rootDomainNamingContext") ) set objAppPart - objLDAP CreateCdomainDNS", "dc-" și strAppPart) objAppPart Put "instancetype" Capitolul Secțiuni de aplicație objAppPart Put "description" strDescr objAppPart SetInfo WScrlpt Echo "Parțiunea aplicației creată: " și strAppPart ■ Acest cod elimină secțiunea de aplicație specificată '- CONFIGURARE SCRIPT strAppPart - " atunci WScrlpt Echo "Nu a găsit o potrivire pentru " și strAppPart altfel objRS MoveLast set objAppPart - GetObject ("LDAP://" & objRS Fi eldsî"di stlngui shedName") Value ) objAppPart DeleteObject(O) Wscript Echo "Șters " și objRS FieldsC'distinguishedName") Valoarea sfârșit dacă Un comentariu Pentru a crea o partiție de aplicație, trebuie să creați un obiect domainDNS care să servească drept container rădăcină Obiectul crossRef corespunzător este creat automat în containerul Partiții din secțiunea de configurare Pentru a șterge secțiunea de aplicație, este suficient să ștergeți doar obiectul crossRef, iar obiectul domainDNS va fi șters automat Ștergerea unei partiții de aplicație șterge și toate obiectele pe care le conține Pietrele funerare nu sunt create pentru ei și nici pentru secțiunea de aplicații în sine Vezi si Documente MS KB (CUM SE: Gestionează partiția și replicile directorului de aplicații în Windows Server ), MSDN: Crearea unei partiții de director de aplicații și MSDN: ștergerea unei partiții de director de aplicații Găsiți partiții de aplicații în pădure Problemă Doriți să găsiți partiții de aplicație care există într-o anumită pădure Găsiți partiții de aplicații în pădure Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola, apoi faceți clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN, introduceți numele distinctiv al containerului Partitions (de exemplu: cn-partitions,cn-configuration,dc=rallencorp, dc-com) În câmpul Filtru, introduceți specificația filtrului: (&(objectcategory-crossRef)(systemFlags: :^ )) În zona Scop, setați butonul radio la Un nivel și faceți clic pe butonul Opțiuni I În câmpul Atribute, introduceți dnsRoot și faceți clic pe OK Faceți clic pe butonul Run Folosind interfața liniei de comandă Următoarea comandă este folosită pentru a căuta toate partițiile aplicației din pădure: > dsquery * cn-partit ons,cn-configuration -filter "(&(objectcategory-cros sRef)(systemFlags: := ))" -scope onelevel -attr dnsRoot Folosind un script VBScript ' Acest cod listează secțiunile aplicației ' inclusă în pădurea specificată set objRootDSE - GetObjectСLDAP://RootDSE") strBase - " :" strFilter - "(&(objectcategory-crossRef)n & "(systemFlags:! :- )):" strAttrs - "cn ncName:" strScope - "un nivel" set objConn - CreateObject("ADOOB Connection") objConn Provider - "ADsDSOObject" objConn Open "Furnizor Active Directory" set objRS - objConn Execute(strBase & strFilter & strAttrs & strScope) objRS MoveFirst wtiile nu objRS EOF Mscri pt Echo obj RS F elds(*nCName") Value objRS MoveNext merge încet Capitolul Secțiuni de aplicație Un comentariu Dacă doriți să găsiți toate partițiile aplicației din pădure, puteți interoga lista de obiecte crossRef din containerul Partitions care au biții (zecimal ) setați în atributul systemFlags În acest scop este utilizat un filtru operator AND pe biți Consultați Rețeta (Capitolul ) pentru mai multe informații despre cum să căutați folosind filtre pe biți De asemenea, puteți utiliza o expresie de filtru mai scurtă, eliminând OID-ul din acesta și setând condiția systemFl ags= În pădurea de testare utilizată în soluția VBScript, rezultatul este același, dar deoarece acest atribut conține un set de steaguri, nu există nicio garanție că un alt bit nu va fi setat într-o secțiune a aplicației - în acest caz, valoarea systemFl Atributul ags nu va fi egal cu În toate soluțiile de mai sus, pentru fiecare partiție de aplicație, este afișată valoarea atributului dnsRoot, care este numele DNS al partiției de aplicație De asemenea, puteți afișa valoarea atributului nCName, care va stoca numele distinctiv al secțiunii aplicației Adăugarea și eliminarea unui server de replicare Problemă Este necesar să adăugați sau să eliminați un server de replicare conceput pentru a stoca partiția aplicației După crearea unei noi partiții de aplicație, trebuie să configurați cel puțin un server de replicare pentru aceasta - în cazul în care serverul pe care se află eșuează Soluţie Folosind interfața liniei de comandă Comanda de mai jos atribuie un nou server de replicare partiției aplicației: > ntdsutil "dom man" conn "to se '' q "adăugați replica nc " qq Următoarea comandă elimină serverul de replicare alocat partiției aplicației: > ntdsutil "dom man" conn "to se " q "elimină replica nc ~ qq Folosind un script VBScript Acest cod atribuie sau elimină un server de replicare pentru o anumită secțiune de aplicație - - CONFIGURARE SCRIPT - strAppPart - " " ' Nume DNS al partiției aplicației Adăugarea și eliminarea unui server de replicare ' Numele de gazdă al serverului care va fi utilizat pentru replicare ' secțiunea de aplicații Trebuie să se potrivească cu numele normal al obiectului ' server care reprezintă controlerul de domeniu strServer - * :" strFilter - "(&(objectcategory-server)(cn-" & strServer & ")):" strAttrs - "cn distinguishedName: strScope - "subtree" set objConn = CreateObjectCADODB Connection") objConn Provider = "ADsDSOObject" objConn Open "Furnizor Active Directory" set objRS = objConn Execute(strBase & strFilter & strAttrs & strScope) dacă objRS RecordCount o atunci WScrlpt Echo " d nu a găsit o potrivire pentru server" și strServer WScript Quit altfel objRS MoveLast strServerDN - "Setări cn-NTDS" & objRS Fields("di st nguTshedName") Value ' Asigurați-vă că obiectul Setări NTDS există set objNTDSDSA - GetObject("LDAP://" & strServerDN) Wscript Echo "Server găsit: " WScrlpt Echo strServerDN Wscript Echo sfârşitul dacă ' Găsiți obiectul crossRef secțiunea aplicației strBase - " :" strFilter - "(&(objectcategory-crossRef)" & "(dnsRoot-" & strAppPart & ")):" strAttrs - "cn distinguishedName;" strScope - "un nivel" set objRS - objConn ExecuteCstrBase & strFilter & strAttrs & strScope) f objRS RecordCount o apoi WScrlpt Echo "Nu am găsit o potrivire pentru partiția aplicației" & strAppPart WScr pt Qu t altfel objRS MoveLast set objAppPart ■ GetObject("LDAP://" & objRS Fi elds("di sti nguîshedName") Value ) Wscript Echo "Partiția aplicației găsite: " WScri pt Echo objRS Fi elds("di sti ngui shedName") Value Capitolul Secțiuni de aplicație WScrTpt EsGio sfârşitul dacă În cele din urmă, adăugați sau eliminați un server de replicare f boolAdd - TRUE atunci objAppPart PutEx ADS PROPERTY APPEND "nisOS-NC-Replica-Locations" Ar răy(strServerON) objAppPart SetInfo WScrlpt Echo "Server adăugat la setul de replică" else objAppPart PutEx ADS PROPERTY DELETE "rnsOS-NC-RepUca-Locatlons" Matrice (strServerDN) objAppPart SetInfo WScrlpt Echo "Serverul eliminat din setul de replici" se încheie dacă Un comentariu Inițial, noua partiție a aplicației se află pe un singur controler de domeniu, cel în care a fost creată Pentru a-și stoca replicile, puteți folosi orice alt controler de domeniu care rulează Windows Server Lista serverelor de replicare asociate cu o partiție de aplicație este stocată în atributul msDS-NC-Replica-Locations al obiectului său crossRef Acest atribut conține numele distinctive ale acestor servere Pentru a atribui un alt server de replicare partiției de aplicație, adăugați numele distinctiv al serverului la atributul specificat și pentru a-l anula atribuirea, eliminați numele acestuia din acest atribut Modificarea valorii atributului msDS-NC-Replica-Locations rulează Knowledge Consistency Checker, care creează sau elimină o replică a partiției aplicației pe controlerul de domeniu specificat Când un controler de domeniu este retrogradat la un rol de server membru, numele său este eliminat automat din atributele msDS-NC-Re-plica-Locations ale tuturor partițiilor de aplicație pe care le-a replicat Vezi si Rețeta vorbește despre găsirea serverelor de replicare a partițiilor de aplicații De asemenea, vă recomandăm să citiți MS KB (H W TO: Manage the Application Directory Partition and Replicas in Windows Server ) Găsirea serverelor de replicare a partițiilor de aplicații Problemă Doriți să găsiți serverele de replicare pentru partiția de aplicație specificată Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Găsirea serverelor de replicare a partițiilor de aplicații Conectați-vă la partiția de configurare a pădurii care conține partiția de aplicații, dacă aceasta nu este listată în panoul din stânga Extindeți secțiunea de configurare, faceți clic pe containerul Partiții În panoul din dreapta, faceți clic dreapta pe obiectul crossRef care reprezintă secțiunea aplicației și selectați Proprietăți din meniul contextual care se deschide În lista Atribute, selectați atributul msDS-NC-Replica-Locations Folosind interfața liniei de comandă > ntdsutil "dom man" conn "co to se '' q ' ist nc repUcas ' qq Folosind un script VBScript ' Acest cod tipărește numele distinctive ale obiectelor nTDSDSA ale tuturor controlerelor de domeniu ' care sunt servere replica ale partiției aplicației date CONFIGURARE SCRIPT * Numele DNS complet pentru partiția de aplicație strAppPart este " " ' De exemplu: apps rallencorp com ' TERMINAREA CONFIGURĂRII - set objRootDSE - GetObjectCLDAP://RootDSE") strBase - " O, atunci Wscript Echo "Nu există servere de replică pentru partiția de aplicații " & strAppPart altfel Wscript Echo "Servere replicate pentru partiția de aplicație " și strAppPart și pentru fiecare strNTDS din objRS F elds("msDS-NC-Replica-Locat ons") Valoare WScrlpt Echo " " și strNTDS Următorul sfârşitul dacă sfârşitul dacă Un comentariu Lista serverelor de replicare a partițiilor de aplicație este stocată în atributul cu mai multe valori msOS - NC-Replica-Locations al obiectului crossRef asociat cu partiția Acest obiect se află în containerul Partiții din secțiunea de configurare Capitolul Secțiuni de aplicație Vezi si Rețeta se referă la adăugarea și eliminarea serverelor de replicare Căutați partiții de aplicații stocate pe un anumit server Problemă Doriți să găsiți partiții de aplicație ale căror replici sunt stocate pe serverul specificat De exemplu, înainte de a transforma un controler de domeniu într-un server membru, ar trebui să verificați dacă acesta are replici ale partiției de aplicație stocate pe el și, dacă da, să atribuiți un server de replicare diferit pentru a-l înlocui Soluţie Utilizarea interfeței grafice cu utilizatorul Rulați utilitarul LDP Executați comanda Conexiune ► Conectare (Conexiune ► Conectare) În câmpul Server, introduceți numele controlerului de domeniu În câmpul Port, introduceți și faceți clic pe OK Executați comanda Connection ► Bind (Conexiune ► Bind) Introduceți numele de utilizator și parola, apoi faceți clic pe butonul OK Executați comanda Răsfoire ► Căutare (Căutare ► Găsire) În câmpul BaseDN, introduceți numele distinctiv al Partitions Container (de exemplu: cn-partitions cn=configuration dc-gaPencorp dc-com) În câmpul Filtru, introduceți următoarea specificație de filtru: (&(objectcategory-crossRef)(systemFlags: :- ) (msDS-NC-Replica-Locations=cn-NTDS Settings cn^ cn-servers cn= cn-sites, cn=configuration )) În zona Scop, setați butonul radio la Un nivel și faceți clic pe butonul Opțiuni I În câmpul Atribute, introduceți dnsRoot și faceți clic pe OK Faceți clic pe butonul Run Folosind interfața liniei de comandă Utilizați următoarea comandă pentru a căuta toate partițiile de aplicație stocate pe un controler de domeniu dat Pentru a face acest lucru, trebuie să cunoașteți numele distinct al domeniului rădăcină a pădurii ( ), numele comun al obiectului server al controlorului de domeniu ( } și numele comun al obiectului site-ului site-ului pe care îl serverul face parte din ( ) Căutați partiții de aplicații stocate pe un anumit server > dsquery * "cn-partitions cn-configuration " -scope onelevel -attr dnsRoot -filter "(&(objectcategory-crossRef)(systemFlags :- ) (msDS- NC-Replica-Locatlons-cn-NTDS Settings cn" cn-servers cn- cn-sites cn-config gurati op ))" Folosind un script VBScript ' Acest cod listează secțiunile aplicației stocate pe serverul dat • - CONFIGURARE SCRIPT - • Server host stump Aceasta ar trebui să se potrivească cu cea normală ' Numele obiectului server care reprezintă controlerul de domeniu strServer este " a ' De exemplu: dcOl ' -END CONFIGURATION • ' Căutați obiectul Setări NTDS asociat cu serverul " set objRootDSE - GetObjectC"LDAP://RootDSE") strBase - " ," strFilter - "(&(objectcategory-server)(cn-" & strServer & "));' strAttrs - "cn,distinguishedName" strScope - "subtree" set objConn - CreateObjectC"ADODB Connection") objConn Provider - "ADsDSOObject" objConn Open "Active Directory Provider" set objRS ■ objConn ExecuteCstrBase & strFilter & strAttrs & strScope) dacă objRS RecordCount o atunci WScnpt Echo "Nu am găsit o potrivire pentru server" și strServer WScript Quit altfel objRS MoveLast strServerDN - "Setări cn-NTDS" & objRS Fields("di sti ngui shedName") Value Wscript Echo "Obiect server găsit: " WScrlpt Echo strServerDN wscript echo end if ' Căutați obiecte crossRef stocate pe server strBase - " ;" strFilter - "(&(objectcategory-crossRef)" & "(msDS-NC-Replica-Locations-" & strServerDN & "));" strAttrs - "nCName:" strScope - "un nivel" set objRS - objConn Execute(strBase & strFilter & strAttrs & strScope) dacă objRS RecordCount - atunci WScrlpt Echo "Server" și strServer & "nu găzduiește nicio partiție de aplicație" WScript Ieșire altfel Wscript Echo "Partiții de aplicații găzduite de server" & strServer & " objRS MoveFirst în timp ce nu objRS EDF Capitolul Secțiuni de aplicație WScrlpt Echo " " & objRS FI eldsC'nCName") Valoare objRS MoveNext merge încet sfârşitul dacă Un comentariu După cum sa discutat în Rețetele și , atributul msDS-NC-Replica-Locations al obiectului crossRef conține o listă de servere de replicare asociate cu o anumită partiție de aplicație În fiecare dintre soluțiile de mai sus, se face o interogare folosind acest atribut Soluțiile GUI și linia de comandă necesită să specificați numele distinctiv al obiectului nTDSDSA care reprezintă controlerul de domeniu În VBScript, numele distinctiv al acestui obiect este determinat dinamic pe baza numelui serverului Vezi si Rețeta - explică cum să găsiți serverele de replicare alocate unei partiții de aplicație date Verificarea setărilor secțiunii aplicației de pe server Problemă Doriți să verificați dacă partiția aplicației este instalată corect pe server Odată ce un controler de domeniu a fost desemnat ca server de replicare al partiției de aplicație, datele partiției trebuie să fie complet replicate controlerului Doar în această condiție va putea din nou să îndeplinească rolul de controler de domeniu Soluţie Folosind interfața liniei de comandă Următoarea comandă vă permite să determinați dacă partiția aplicației este instalată corect pe un anumit controler de domeniu: > dcdlag /testichecksdrefdcm /test:verifyreplicas /testicrossrefvalidation /s: NOTĂ - - Verificarea pentru Windows Server poate fi efectuată numai folosind utilitarul dcdiag Un comentariu Pentru a determina dacă partiția aplicației este instalată corect pe server și dacă există probleme, testele CheckDSRefDom, VerifyRepl icas vă vor ajuta Specificarea timpului de întârziere a notificării de replicare și CrossRefValidatlon suportate de utilitarul dcdiag Iată cum sunt descrise în rezultatul de ajutor de către utilitarul dcdiag: Despre CrossRefVaUdatlon - căutați referințe încrucișate nevalide; Despre CheckSORef Dom - verifică dacă toate secțiunile aplicației au domenii de referință pentru descriptori de securitate setate, A VerifyReplicas - Verifică dacă partițiile aplicației sunt instalate corect pe toate serverele de replicare Există o altă modalitate de a verifica dacă o anumită partiție de aplicație este instalată pe un controler de domeniu dat, și anume prin verificarea valorii atributului msDS-HasInstantiatedNCs al obiectului nTDSDSA care reprezintă acest server Acest atribut are DN-ul cu sintaxă binară și conține o listă dintre toate partițiile aplicației instalate cu succes pe server Din păcate, instrumente precum ADSI Edit și dsquery nu pot interpreta corect atributele binare, dar valoarea atributului msDS-HasInstantiatedNCs poate fi verificată folosind un program LDP Specificarea timpului de întârziere a notificării de replicare Problemă Există două setări de replicare asociate cu configurarea partițiilor de aplicație care determină cât de mult timp este făcută prima și următoarele întârzieri în notificările de replicare după o modificare a partiției (Aceste setări afectează replicarea oricăror partiții, nu doar partițiile aplicației ) Prima întârziere este perioada de timp pe care un controler de domeniu așteaptă înainte de a notifica primul său partener de replicare cu privire la modificări Durata întârzierilor ulterioare este aceeași și este determinată de timpul după care controlerul de domeniu notifică următorul partener de replicare după notificarea celui precedent Ajustarea acestor opțiuni vă permite să accelerați sau să încetiniți replicarea Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Conectați-vă la partiția de configurare a pădurii care conține partiția de aplicații, dacă aceasta nu este listată în panoul din stânga Deschideți secțiunea de configurare și în ea - containerul Partiții (Secțiuni) În panoul din dreapta, faceți clic dreapta pe obiectul crossRef care reprezintă secțiunea aplicației și selectați Proprietăți din meniul contextual care se deschide Capitolul Secțiuni de aplicație Setați atributele msDS-Replication-Notify-First-DSA-Oelay și msOS-Replica-tion-Notify-Subsequent-DSA-Delay la valori care specifică durata fiecărei întârzieri în secunde (vezi secțiunea de comentarii) Faceţi clic pe butonul OK Folosind interfața liniei de comandă Pe Windows Server , puteți seta timpul de întârziere de replicare folosind utilitarul repadmin: > repadmin /notifyopt /first: /subs: Pe Windows , creați un fișier LDIF cu următorul conținut: dn: modificare tipul de modificare înlocuiți: msDS-Repl cati on-Noti fy-Fi rst-DSA-Delay msDS-Repl cati on-Notify-Fi rst-DSA-Delay: înlocuiți: msDS-Replication-Notify-Subsequent-DSA-Delay msDS-Replication-Notify-Subsequent-DSA-Delay: Apoi rulați următoarea comandă (presupunând că fișierul generat se numește change replication delays ldf): > Idifde -v -i -f change replication delays ldf Folosind un script VBScript ' Acest cod setează întârzierile de replicare pentru partiția aplicației ' - CONFIGURARE SCRIPT - strAppPartDN - "AppPartPartName>" ' De exemplu: dc"apps dc-ra encorp dc=com intFirstDelay ■ IntNextDelay - next delay in seconds> * - SFÂRȘIT CONFIGURARE - " set objRootDSE - GetObjectCLDAP://RootDSE") strBase - " :" strFilter - "(&(objectcategory=crossRef)(nCName"" & strAppPartDN & "));* strAttrs - "cn distinguishedName:" strScope • "un nivel" set objConn - CreateObjectCADODB Connection") objConn Provider - "ADsDSOObject" objConn Open "Furnizor Active Directory" set objRS - objConn Execute(strBase & strFilter & strAttrs & strScope) dacă objRS RecordCount o atunci WScrlpt Echo "Nu am găsit o potrivire pentru " și strAppPartDN altfel objRS HoveLast set objAppPart - GetObjectCLDAP://" & objRS Fi el ds Cdi sti ngui shedName") Val ue ) objAppPart Put "msDS-Replication-Notify-First-DSA-Delay" intFirstDelay objAppPart Put "msDS-Replication-Notify-Subsequent-DSA-Delay" intNextDelay objAppPart SetInfo Atribuirea unui domeniu de referință de descriptor de securitate Wscript Echo "Modifed" și objRS Flelds("dist ngu shedNare") Valoarea finală dacă Un comentariu Valorile parametrilor care determină timpul de întârziere a replicării sunt stocate în atributele msDS-Replication-Notify-First-DSA-Delay și msDS-Replication-Notify-Sub-sequent-DSA-Delay ale obiectului crossRef care reprezintă partiția aplicației ( acest obiect se află în containerul Partiții al configurației partiției) Timpul de întârziere este setat în secunde În mod implicit, primul timp de întârziere și următorii pentru secțiunea de aplicație sunt de de secunde Atribuirea unui domeniu de legătură de descriptor de securitate unei secțiuni de aplicație Problemă Când un obiect este creat în Active Directory, i se atribuie descriptorul de securitate implicit definit în schema pentru clasa obiectului Descriptorul se poate referi la grupuri specifice, cum ar fi grupul Administratori de domeniu, dar descriptorul în sine nu este asociat cu niciun domeniu anume Dacă un obiect nou este creat într-o partiție de domeniu, este evident că grupul Domain Adrmns specificat în descriptor este grupul definit pentru acel domeniu Dar dacă obiectul este creat în secțiunea de aplicații, unde nu poate exista un grup de Administratori de domeniu? În acest caz, domeniul de legătură al descriptorului de securitate poate fi definit pentru secțiunea de aplicație Acest domeniu este specificat în atributul msDS-SDReferenceDomain al obiectului crossRef al secțiunii de aplicație Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți ADSI Edit Conectați-vă la partiția de configurare a pădurii unde se află partiția de aplicații dacă aceasta nu este prezentă în panoul din stânga Deschideți secțiunea de configurare și în ea - containerul Partiții (Secțiuni) În panoul din dreapta, faceți clic dreapta pe obiectul crossRef care reprezintă secțiunea aplicației și selectați Proprietăți din meniul contextual care se deschide În lista Atribute, selectați atributul msDS-SDReferenceDomain Setați atributul specificat la numele distinctiv al domeniului în care să căutați referințe de descriptori de securitate Capitolul Secțiuni de aplicație Folosind interfața liniei de comandă > ntdsutil "dom Iran" duză "co to se " q "set nc ref domain " qq Folosind un script VBScript ' Acest cod definește pentru secțiunea de aplicație dată ' domeniul de legătură de descriptor de securitate ' CONFIGURARE SCRIPT ' Numele distinctiv al domeniului de referință al descriptorului de securitate strRefDomainDN - " " ' De exemplu: dc-emea dc-ral encorp dc-com ' Numele DNS complet calificat al partiției aplicației strAppPart - " " ' De exemplu: app ral encorp corn • - TERMINAREA CONFIGURĂRII - set objRootDSE - GetObject!"LDAP://RootDSE") strBase - " dsacls /G PPVR: msDS-NC-Repli ca -tocat ions > dsacls OI object cgo ReG application partition> /G :PP#; msDS-SDReferenceDoma n > dsacls /G :P P'v(P; msDS-Replication-Notify-First-DSA-Delay > dsacls /G user or group>:PP#; msDS-Repli cat on-Not fy-Subsequent-DSA-De ay Capitolul Secțiuni de aplicație Folosind un script VBScript ' Acest script deleagă gestionarea a patru atribute cheie ' secțiunea aplicației către utilizatorul sau grupul specificat • - CONFIGURARE SCRIPT ' DNS Ying complet al secțiunii aplicației strAppPart - " " ' De exemplu: apps rallencorp com ' Utilizatorul sau grupul căruia îi sunt delegate funcțiile de control strUser - " " De exemplu joe@rallencorp corn sau RALLENCORP\joe ' - CONFIGURAȚIE DE sfârșit - 'Constante WWWHOMffff ' Din enumerarea ADS ACETYPE ENUM Const ADS ACETYPE ACCESS ALLCWED - &hO Const ADS ACETYPE ACCESsZalLO*ED OBJECT - &h ' Din enumerarea ADS FLAGTYPE ENUM Const ADS FLAG OBJECT~TYPE PRESENT - &hl ' Din enumerarea ADS RIGHTS ENUM Const ADS RIGHT DS WRITE PROP - &h Const ADS RIGHT DS READ PROP - &hlO ' valorile atributului schemaIDGUID Const REPLICA LOCATIONS - "{ de -b - bc-ac f- f i f }" Const SDREFERENCEDOMAIN - "{ c e -f a -b b-ffb fcb f }" Const NOTIFY FIRST DSA DELAY - "{ abd f - a e -bdec- f bb ba}" Const NOTIFY SUBSEQUENT DSA DELAY - "{d db -dd - b -bld - d ecc e b }" Căutare în secțiunea de aplicații set objRootDSE = GetObjectC"LDAP://RootDSE") strBase = " :" strFilter = "C&(objectcategory-crossRef)(dnsRoot=" & strAppPart&"));' strAttrs = "cn distinguishedName;" strScope - "un nivel" set objConn - CreateObjectC'ADODB Connection") objConn Provider ° "ADsDSOObject" objConn Open "Furnizor Active Directory" Set objRS - objConn Execute(strBase & strFilter & strAttrs S strScope) dacă objRS RecordCount o atunci WScrlpt Echo "Nu am găsit o potrivire pentru " și strAppPart altfel objRS MoveLast set objAppPart - GetObjectC"LDAP://* & objRS Câmpuri ("di sti ngui shedName"), Val iie ) Delegarea funcțiilor de gestionare a secțiunii de aplicații sfârşitul dacă ' Creați o listă de control al accesului (ACL) ■ b şi * "i f - shl I n i i I aGO n ww /Gp L l Ir it nit Un comentariu Utilizarea limbajului DSML este o alternativă XML la utilizarea protocolului LDAP pentru a lucra cu un server de directoare Dezvoltarea acestui limbaj a fost inițiată de grupul de standarde Oasis (http://www oasls-open org/committees/dsml/), iar majoritatea furnizorilor de servicii de director acceptă în prezent versiunea (DSMLv ) DSML codifică cererile de directoare ca mesaje XML și le trimite unui client SOAP, care poate fi localizat pe un server de directoare sau pe un server separat În prezent, controlerele de domeniu Active Directory nu acceptă direct DSML, deci este necesară o instalare separată a clientului Pentru mai multe informații despre DSML, puteți vizita site-ul web al trupei Oasis Programare Perl Vezi si Vă recomandăm să vizitați pagina de pornire DSML pentru Windows la http://www rncrcsoftcom/windows (XM/server/evaluaton/news/bulletins/dsml asp Programare Perl Problemă Este necesar să se ofere acces programatic la Active Directory utilizând limbajul Perl Soluţie Există două moduri de a accesa Active Directory dintr-un script Perl: folosind modulele Net::LDAP și LDAP independente de platformă și folosind modulul Win ::OLE care oferă acces la interfața ADSI (cel din urmă modul poate funcționa numai pe Windows ) Oricare dintre aceste module poate fi descărcat de pe site-ul Comprehensive Perl Archive Network (CPAN) la http://www cpan org/ Următoarele arată cum să interogați obiectul RootDSE utilizând modulele Net::LDAP : #!/usr/SD/perl/b n/perl folosiți strict: utilizați Net::LDAP; ssldapserver - $ARGV[O] || 'dcl'; shu Jldapobj - Net:LOAP->new($ldap server) sau di'e " Nu s-a putut conecta: srootdse - $ldapobj->search( baza filtru -> •(clasa obiect-*)' domeniul de aplicare ■*> "bază", ); ■ die $rootdse->eroare dacă $rootdse->cod: foreach Entry($rootdse->entry) { foreach $attr(sortare $entry->atribute) { foreach ($entry->get($attr)) { prinț "$attr: $ \n''; Capitolul Interacțiune și integrare Următorul fragment de cod demonstrează cum poate fi efectuată aceeași operațiune folosind un modul bazat pe Win ::OLE și ADSI De asemenea, afișează atributele obiectului RootDSE: folosiți strict: utilizați Win ::OLE ' n': schw $rootdse - W n : :OLE->GetObject(''LDAP://RootDSE"): $rootdse->GetInfo: pentru stu $ ( $rootdse->PropertyCount - ) { sprop - $rootdse->Item($ ): prinț $prop->Nume "\n": foreach stu Sval (în $prop->Valori) { prinț " val->CaseIgnoreString,"\n": } } Când utilizați modulul Net::LDAP, de obicei vă legați la un controler de domeniu înainte de a efectua căutări sau alte operațiuni Cu toate acestea, în exemplul de mai sus, ultimul pas nu este necesar deoarece cererea este către un obiect RootDSE care permite o conexiune anonimă (adică neautorizată) Conectarea se face folosind următorul cod: $ldapobj->bind('administrator@rallencorp cell' parola -> 'galt'): Al doilea exemplu, bazat pe Win ::OLE și ADSI, este implicit la numele și parola utilizatorului care rulează scriptul, astfel încât legarea explicită este necesară numai atunci când Active Directory necesită autentificare ca alt utilizator Un comentariu Net::LDAP este un set de module care oferă o funcționalitate extinsă pentru interogarea și actualizarea directoarelor LDAP care acceptă DSML, scheme abstracte și LDIF Toate aceste module sunt construite în limbajul de programare Perl, adică nu folosesc instrumente externe SDK (Software Development Kit - software development tools) pentru LDAP Acest lucru vă permite să creați scripturi utilizând Net::LDAP pe o varietate de platforme și să accesați Active Directory și alte servicii de director activate LDAP de pe acestea Dezvoltatorul de module Net::LDAP este Graham Wagg; mai multe informații despre ele pot fi găsite la http://perl-ldap sourceforge net/ Modulele Win ::OLE implementează o interfață către COM (Component Object Model) Cele mai multe clase și metode ADSI sunt disponibile prin interfața COM de automatizare IDispatch Vezi si Documentația pentru modulele Win ::OLE poate fi găsită la http://aspn ac-tivestate com/ASPN/Perl/Products/ActjvePerl/site/lib/Win /OLE html Modulele Perl pot fi descărcate de la http://www cpan org/ i Programare Java □□eu Programare Java Problemă Este necesar să se ofere acces programatic la Active Directory utilizând limbajul Java Soluţie Pentru a accesa orice servicii de denumire și director, inclusiv DNS și LDAP, se folosește de obicei JNDI (Java Naming and Directory Interface - Java interface for naming and directory services), care este o extensie standard a limbajului Java Interfața JNDI a devenit parte a API-ului Java Enterprise și este documentată la http://java sun com/products/jndi/ Este o interfață orientată pe obiecte pentru programare folosind LDAP Luați în considerare un exemplu în care afișarea atributelor obiectului RootDSE stocat pe controlerul de domeniu DC este efectuată folosind JNDI: /** * Ieșire atribute RootDSE pentru DC */ import javax namlng *; Importați directorul javax namlng *: clasa RootDSE { public static void main(String[] args) { încerca { // Creați contextul inițial DirContext ctx - nou InitialDirContextC ): // Citiți atributele rootDSE Atribute attrs ■ ctx getAttributes( "ldap://DCl" new Str ng[]{"*"}); // Obține o listă de atribute Enumerări NamingEnumeration - attrs getIDs( ); // Afișează numele și valoarea fiecărui atribut while (enums !■ nuli && enums hasMore( )) { String nextattr - (String)enums next( ); System out println( attrs get(nextattr) ); } // Închiderea contextului ctx close( ): } catch (NamingException e) { e printStackTraceC); } } } Capitolul Un comentariu Fiecare programator Java serios ar trebui să fie familiarizat cu interfața JNDI Această interfață generică este utilizată pentru a oferi acces la diverse servicii, nu doar Active Directory Pe site-ul web Sun la http://java sun com/products/jndi/tutorial/, oferă un bun tutorial JNDI Vezi si Vă recomandăm să consultați pagina de pornire JNDI aflată pe site-ul web Sun: http://java sun com/products/jndi/ Programare în Python Problemă Este necesar să se ofere acces programatic la Active Directory utilizând limbajul Python Soluţie Ca și în cazul Perl, există două moduri de a accesa programatic Active Directory folosind Python: folosind suportul LDAP încorporat și utilizarea interfeței COM către ADSI Modulul pentru suport LDAP poate fi descărcat de pe site-ul situat la http://python-ldap sourceforge net/ Interfața COM este inclusă în mediul de dezvoltare ActivePython, care poate fi descărcat de pe site-ul web ActiveState la http://www activestate com/ActivePython/ Următorul fragment de cod Python arată că puteți afișa proprietățile obiectului RootDSE stocat pe DC folosind LDAP: import ldap încerca: - ldap open("dcr) cu excepția ldap LDAPError e prințul e baseDN-" searchScope = ldap SCOPE BASE retrieveAttributes - Nici unul searchFilter - "objectclass-*" încerca: ldap result d - căutare(baseDN searchScope, searchFilter retri eve Attri butes) Integrarea cu Ml l Kereros tip rezultat date rezultat - rezultat(ldapjresult id ) f tip rezultat - ldap RES SEARCH ENTRY: prinț result data cu excepția ldap LDAPError e prințul e Următorul cod utilizează modulul client win com pentru a accesa RootDSE prin ADSI: import win ccm client objRootDSE - win com client GetObject('LDAP //RootDSE') objRootDSE GetInfo( ) pentru i în interval ( objRootDSE PropertyCount - ): prop 'objRootDSE Item(i) prinț prop Nume pentru val în prop Valori prinț" " val CaseIgnoreString Un comentariu Pentru mai multe informații despre Python, consultați pagina de pornire a limbii la http://www python org/ Integrare cu МІТ Kerberos Problemă Este necesar să se integreze infrastructura existentă a sferei MIT Kerberos cu Active Directory Soluţie Integrarea Kerberos MIT (Massachusetts Institute of Technology) cu Active Directory înseamnă de obicei crearea unei relații de încredere între domeniul Active Directory și domeniul Kerberos Fără această relație, nu puteți oferi utilizatorilor acces la resurse din domeniul Active Directory și domeniul Kerberos Creați o încredere pentru domeniul Kerberos pe un controler de domeniu: > netdom trust AD RALLENCORP COM /Domain -MIT RALLENCORP COM /Add /Realm /PasswordT•"Parolă" Dacă este necesar, faceți această relație tranzitivă: > netdom trust AD RALLENCORP COM /Domain MIT RALLENCORP COM /Transitive yes OZ Capitolul Pe controlerul de domeniu pentru sfera Kerberos, instalați KDC (Key Distribution Center - Key Distribution Center): > ksetup /addkdc MIT RALLENCORP COM kdc niit rallencorp com Pe computerul Unix, definiți un principal de securitate pentru domeniul Active Directory din domeniul Kerberos: kadmin addprinc -e des-cbc-crc:normal krbtgt/ad ral lencorp com Un comentariu Acest cod este departe de a fi complet Cel mai probabil va trebui să configurați serviciile membre și gazdele membre ale trustului pe care îl creați, să mapați conturile și să editați fișierul de configurare krb conf pe serverele KDC pentru a permite integrarea, dar o descriere detaliată a tuturor acestor acțiuni este dincolo de domeniul de aplicare al acestei cărți O mulțime de informații interesante despre sistemul Kerberos, și în special despre caracteristicile interacțiunii sale cu Active Directory, sunt conținute în cartea Kerberos: The Definiteive Guide (O'Reilly) Există multe resurse utile pe Web: O Pagina de pornire a MIT Kerberos (http://web mit edu/kerberos/www/); Ghid pas cu pas al integrării MIT Kerberos de la Microsoft (http://www microsoft com/windows /techinfo/planning/security/kerbsteps asp); Despre instrucțiuni pentru configurarea interoperabilității între Windows și MIT Kerberos (http://calnetad berkeley edu/documentabon/test environment/kerbjnterop trip-ups html) Vezi si Documente MS KB (Prezentare generală de bază asupra protocolului de autentificare a utilizatorului Kerberos în Windows ), MS KB (Descrierea erorilor comune Kerberos în Windows ), MS KB (Informații despre implementarea Windows Kerberos), MS KB ( ) CUM SE: Utilizați Instrumentul de configurare Kerberos (Ksetup exe)) și MS KB (Cartea albă: Interoperabilitatea și autentificarea Windows Kerberos) Integrare cu Samba Problemă Necesar pentru autentificarea clienților serviciului Samba în Active Directory și accesarea resurselor Active Directory Samba este o soluție de aplicație Unix utilizată cu protocolul SMB (Server Message Block) Multe sisteme de operare, inclusiv Windows și OS/ , folosesc SMB pentru comunicarea client-server printr-o rețea Prin sprijinirea acestui protocol, Samba permite serverelor Unix să stabilească conexiuni folosind același protocol ca și produsele Microsoft Windows - Nota ed Integrare cu Apache EOL Soluţie Samba nu acceptă în prezent Active Directory Următoarea versiune a acestui produs, Samba , care se află în testare beta la momentul scrierii, va include suport pentru clienți Active Directory Pentru funcționalitatea completă LDAP și Kerberos, trebuie să instalați și pachetul OpenLDAP și MIT Kerberos Un comentariu Tehnologia Samba include multe soluții diferite pentru integrarea Unix cu Windows NOS În special, permite clienților Windows să utilizeze fișiere Unix și servicii de imprimare În plus, serverul Samba poate acționa ca controler de domeniu principal într-un mediu Windows NT Vezi si Mai multe informații despre proiectul Samba pot fi găsite la http://www samba org/ Integrare cu Apache Problemă Dacă organizația dvs rulează Active Directory și un server Apache, puteți integra cele două sisteme pentru a reduce numărul de autentificări, astfel încât Apache să își autentifice clienții HTTP folosind Active Directory Soluţie Există mai multe module Apache care acceptă integrarea Active Directory cu directoarele de magazin LDAP, iar în Apache această integrare este implementată ca un modul mod auth ldap încorporat Documentația pentru acest modul poate fi găsită la http://httpd apache Org/docs- /mod/mod auth ldap html Modulul mod auth ldap îndeplinește următoarele funcții: O realizează legarea folosind un nume distinctiv predefinit și o parolă de utilizator; O caută în director folosind un filtru predefinit și numele utilizatorului autentificat; Dacă rezultatul căutării este pozitiv, acesta încearcă să se lege folosind numele de utilizator și parola găsite Dacă rețeaua dvs rulează Apache x, puteți utiliza modulul de autentificare ldap utilizat pe scară largă, care funcționează la fel ca b Capitolul și modulul mod auth ldap Pentru mai multe informații despre această problemă, vă recomandăm să vizitați http://www rudedog org/authjdap/ Un comentariu Pentru a lucra cu Active Directory, modulul mod auth ldap nu este cea mai bună opțiune A doua acțiune pe care o efectuează (căutarea numelui distinctiv al utilizatorului) este opțională Dacă UPN-urile sunt setate pentru toți utilizatorii, vă puteți autentifica pur și simplu folosind UPN în loc de numele distinctiv Active Directory acceptă ambele tipuri de legături Aceasta înseamnă că modulul mod auth ldap ar putea pur și simplu să ia numele și parola introduse de utilizator ca răspuns la cerere și să adauge un sufix UPN predefinit la nume (de exemplu: @rallencorp com) Sperăm că dezvoltatorii mod auth ldap vor lua în considerare această posibilitate în viitor versiuni versiuni De asemenea, rețineți că atunci când utilizați acest modul, va trebui să codificați numele controlerului de domeniu pentru a interoga și pentru a vă lega Și dacă sistemul nu folosește software sau hardware pentru a regla încărcarea serverului, te vei trezi dependent de acest controler de domeniu Ambele module, mod auth ldap și auth ldap, acceptă și recomandă utilizarea protocoalelor SSL (Secure Sockets Layer) și TLS (Transport Layer Security) Dacă nu le activați, parolele vor fi transferate între controlerul de domeniu și serverul Apache în text clar Vezi si Puteți găsi destul de multe informații despre serverul Apache la http://www apache org/ LA ORA Înlocuirea serviciului NIS Problemă Este necesară înlocuirea tuturor componentelor infrastructurii NIS (Network Information System) cu componente Active Directory NIS îndeplinește aproape aceleași funcții ca și Active Directory și, prin urmare, prin integrarea celor două infrastructuri, puteți reduce costul suportului Soluţie Multe instrumente care ajută la integrarea sistemelor Unix și Windows sunt incluse în pachetul Microsoft SFU (Services For Unix - services for Unix) În special, are un server NIS care poate înlocui serverele NIS existente și utilizează Active Directory SFU vine cu un set de scheme extensii pe care serverul NIS Folosind BIND în loc de DNS db folosit pentru a structura informații despre utilizatori, grupuri și computere necesare clienților NIS În plus, SFU include software server și client NFS, în cazul în care doriți să interoperați pe acest sistem de fișiere Toate programele SFU rulează pe sistemele de operare Windows Informații detaliate despre SFU sunt disponibile la http://www microsoft com/windows/sfu/default asp Dacă nu lucrați cu pachetul SFU, puteți utiliza produsul Gateway NIS/LDAP de la PADL Software (http://www padl com/) Gateway-ul PADL NIS/LDAP utilizează extensii de schemă de la SFU pentru a oferi servicii NIS cu suport Active Directory Clienții NIS prin acest gateway pot obține informații despre utilizatori, grupuri și computere, pot lucra cu SunONE Directory Server, precum și cu Active Directory Gateway-ul NIS/LDAP este acceptat pe platformele Unix precum Solaris, Linux și FreeBSD Vezi si Pentru mai multe informații despre subiectul tratat în această rețetă, vă recomandăm să consultați cartea Administrarea sistemului LDAP (O'Reilly) O mulțime de informații utile sunt, de asemenea, conținute în documentele MS KB (H W TO: Install Server for NIS on Windows for Unix-to-Windows Migration), MS KB (CUM PENTRU: Configurați Server pentru NIS pentru Unix-to-Windows) Windows Migration), MS KB (CUM SE: Migrați hărțile NIS existente pe server pentru migrarea NIS de la Unix la Windows) Folosind BIND în loc de DNS Problemă Să presupunem că decideți să nu mai utilizați serviciul Microsoft DNS în Active Directory și să îl înlocuiți cu serviciul BIND Prin urmare, va trebui să configurați acest serviciu Soluţie În Active Directory, DNS menține înregistrări de resurse SRV și Dynamic DNS (DDNS) Prima versiune a BIND (Berkley Internet Name Domain) care a acceptat înregistrările SRV a fost lansată în și a fost numită patch Deși Active Directory nu necesită DDNS pentru a funcționa cu înregistrările DNS, fără el, o cantitate imensă de muncă are să se facă manual Următorul este un exemplu de configurare a serviciului BIND pentru a sprijini domeniul ad rallencorp com: Opțiuni { directorul '/etc/namedb': } Zona "adrallencorp com*" ÎN { Capitolul tip master; fișier "db ad rallencorp com"; allcw-update { dcl ; dc ; dc ; }; numele-verifica ignorate; }: Directiva director specifică unde sunt localizate fișierele de zonă Parametrul tip trebuie setat la mașter, iar parametrul fi e trebuie să fie numele fișierului care stochează conținutul zonei Directiva allow-update specifică care servere (specificate prin specificarea numelor sau adreselor IP) pot actualiza dinamic zona, iar directiva check-names ignore specifică că serviciul BIND nu ar trebui să impună restricții asupra numelor utilizate în înregistrările de resurse Fără aceste setări, BIND nu va putea furniza intrări Active Directory care utilizează caractere de subliniere Configurația BIND arată exact ca configurația BIND , doar linia de ignorare a numelor de verificare este opțională aici În mod implicit, serviciul permite caractere de subliniere în înregistrările de resurse După configurarea serverelor BIND, trebuie să vă asigurați că procesul de rezolvare de pe controlerul de domeniu deține un pointer către cel puțin unul dintre serverele de nume BIND Pentru a face acest lucru, căutați în containerul Network Connections al fiecărui controler de domeniu, faceți clic dreapta pe conexiunea activă și selectați comanda Properties (Properties) din meniul contextual care se deschide, apoi deschideți fereastra de proprietăți Internet Protocol (TCP / IP) Opțiunile procesului de rezolvare sunt de obicei configurate în fila General, dar acest lucru se poate face și folosind snap-in-ul DHCP sau Politica de grup (Politica de grup) Un comentariu Rețeta (Capitolul ) spune cum să inițiezi înregistrarea înregistrărilor DNS de către un controler de domeniu, iar rețeta (în același capitol) vă spune cum să verificați dacă acesta, controlerul de domeniu, își poate înregistra înregistrările Documentația pentru BIND și codul sursă pentru serviciu sunt disponibile pe site-ul web ISC la următoarea adresă URL: http://www isc org/products/BIND/ Vezi si Documente MS KB (Integrarea DNS Windows într-un spațiu de nume DNS bazat pe BINE sau Windows NT ) și MS KB (CUM SĂ Migrați o infrastructură DNS existentă de la un server bazat pe BIND la un DNS bazat pe Windows Server ) B Autorizare Microsoft DHCP Server Problemă Trebuie să autorizați un server Microsoft DHCP (Dynamic Host Configuration Protocol) în Active Directory, astfel încât clienții să îl poată utiliza Autorizare Microsoft DHCP Server Soluţie Utilizarea interfeței grafice cu utilizatorul Deschideți snap-in-ul DHCP În panoul din stânga, faceți clic dreapta pe intrarea DHCP și selectați Server nou Introduceți numele serverului DHCP care urmează să fie adăugat și faceți clic pe butonul OK Faceți clic dreapta pe numele serverului și selectați comanda Authorize Un comentariu Serverul DHCP pentru Windows și Windows Server va putea atribui adrese IP clienților numai dacă este autorizat Ca urmare, numărul de servere terțe, care oferă adesea informații incorecte, va fi redus Astfel de servere sunt instalate de obicei de utilizatori obișnuiți, adesea din cauza lipsei de experiență, și nu numai că oferă informații eronate, ci și resping complet cererile, din cauza cărora clienții de rețea nu au acces la serviciile necesare Dacă un server DHCP rulează pe un controler de domeniu, acesta este autorizat automat Fiecare server DHCP care face parte dintr-un domeniu Active Directory interogează serviciul de director pentru a determina dacă este autorizat și abia apoi răspunde la solicitările DHCP Un server DHCP independent care nu se află într-un domeniu Active Directory trimite un mesaj DHCPINFORM prima dată când se inițializează Dacă orice server DHCP autorizat răspunde la acest mesaj, serverul independent care l-a trimis nu mai răspunde la solicitări Neavând un răspuns de la niciun server (DHCP), el însuși răspunde la solicitările clientului Serverele DHCP autorizate sunt reprezentate în Active Directory prin obiecte dhcpClass situate în containerul cn=NetServices cn=Services cn-Configuration, Numele distinctiv relativ al unui server DHCP autorizat este același cu adresa sa IP NOTĂ - În Windows , un server DHCP nu poate fi autorizat utilizând snap-in-ul DHCP Windows Server decât dacă Service Pack este instalat pe el Vezi si Documente MS KB (Rezultate neașteptate în serviciul DHCP Snap-in după utilizarea NETSH pentru a autoriza DHCP), MS KB (CUM SE: Instalează și configurează un server DHCP și un domeniu Active Directory în Windows ), MS KB (Cum pentru a utiliza Netsh exe pentru a autoriza, neautoriza și lista servere DHCP în Active Directory), MS KB (Nu se poate autoriza un nou server DHCP în Active Directory) și MS KB (CUM PENTRU: Instalați și configurați un server DHCP într-un Active Directory) Domeniu în Windows Server ) Capitolul Utilizarea VMWare pentru a testa Active Directory Problemă Una dintre problemele cu care se confruntă dezvoltatorii și administratorii atunci când testează Active Directory este că fiecare server poate suporta un singur domeniu VMWare vă permite să ocoliți această limitare și să lucrați cu mai multe domenii pe același server Soluţie VMWare Inc (http://www vmware com/) a dezvoltat o mașină virtuală care vă permite să utilizați mai multe tipuri diferite de sisteme de operare pe un singur computer Produsul ei VMWare Workstation poate fi utilizat pe laptopuri și servere desktop, în timp ce VMWare GSX Server este proiectat pentru a implementa soluții la scară întreprindere și chiar vă permite să rulați servicii de rețea reale pe o mașină virtuală VMWare În ceea ce privește Active Directory, folosind oricare dintre aceste două produse, puteți emula o pădure creând mai multe mașini virtuale pe un singur computer Autorul a folosit personal VMWare pentru a testa extensiile de schemă Deoarece Active Directory nu acceptă ștergerea obiectelor dintr-o schemă, nu puteți adăuga aceeași extensie de două ori (în timp ce o testați) VMWare stochează datele fiecărei mașini virtuale ca un set de fișiere După crearea primei mașini virtuale reprezentând controlerul de domeniu, aceste fișiere pot fi copiate și astfel se pot crea cât mai multe instanțe ale acestui controler de domeniu Menținerea mai multor domenii într-o pădure este costisitoare, atât în ceea ce privește mai mult hardware, cât și mai mult personal Fiecare domeniu necesită cel puțin un server separat Dacă există patru domenii în pădure și urmează să fie create trei site-uri de testare pentru fiecare dintre ele, vor fi necesare un total de servere Cu toate acestea, utilizarea unei mașini virtuale VMWare vă va permite să vă limitați la trei servere de testare, fiecare dintre ele va rula toate cele patru controlere de domeniu Dacă serverul este suficient de puternic, este posibil ca acesta să poată suporta toate cele patru site-uri de testare Caracteristica snapshot introdusă în VMWare simplifică foarte mult testarea Termenul "instantaneu" se referă la o copie a stării mașinii virtuale realizată la un anumit moment în timp, permițându-vă să reveniți la starea fixă dacă este necesar Această caracteristică este utilă în special atunci când se testează actualizările schemei Active Directory Un comentariu Din păcate, Microsoft nu oferă asistență tehnică pentru probleme legate de funcționarea Active Directory și a celorlalte produse ale sale într-un mediu VMWare Personalul de asistență tehnică al companiei, desigur, încearcă să Utilizarea VMWare pentru a testa Active Directory pentru a ajuta clienții care îi contactează în rezolvarea problemelor asociate cu utilizarea VMWare, dar nu este întotdeauna posibil să se obțină rezultatul dorit Trebuie remarcat faptul că Microsoft intenționează să-și dezvolte propria tehnologie de server virtual În februarie , compania a achiziționat drepturile asupra software-ului Virtual PC dezvoltat de Connectix, o companie privată Până la jumătatea anului , a lansat o previzualizare a unui nou produs, Microsoft Virtual Server pentru Windows Server Este principalul concurent al VMWare și are multe dintre caracteristicile acestei "mașini" /evaluation/news/bulletins/vmnews mspx Vezi si Document MS KB (Politica de asistență VMWare și limitele de asistență) Aplicație Lista de instrumente Numărul de instrumente folosite în Active Directory este pur și simplu impresionant! Numai în această carte sunt menționate peste cincizeci Toate aceste instrumente sunt enumerate mai jos, cu o indicație a sarcinilor efectuate cu fiecare dintre ele, ce tipuri sunt, unde pot fi găsite și în ce rețete sunt utilizate Expert pentru backup și restaurare (ntbackup exe) Scop: Copiere de rezervă și restaurare a informațiilor controlerului de domeniu, inclusiv Active Directory Tip: Master Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: , , - Expert de configurare Active Directory (dcpromo exe) Scop: promovați un server la un controler de domeniu și retrogradați un controler de domeniu la un server membru Tip: Master Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: - , - Domenii și trusturi Active Directory (Active Directory - Domenii și trusturi, domain msc) Scop: Creșterea nivelului operațional (Windows ) sau a nivelului funcțional al domeniului sau al pădurii (Windows Server ); managementul încrederii; vizualizarea și modificarea descrierii și a atributelor domeniului managedBy Tip: instalație MMC Locație: pachet adminpak msi pentru Windows și Windows Server Utilizat în rețete: , , , - , Lista de instrumente Schema Active Directory (Schema Active Directory, schmmgmt msc) Scop: Vizualizați, creați și modificați clase și atribute Tip: instalație MMC Locație: pachet adminpak msi pentru Windows și Windows Server Folosit în rețete: , , , , - , - , I Site-uri și servicii Active Directory (Situri și servicii Active Directory, dssite msc) Scop: Vizualizarea obiectelor care reprezintă topologia rețelei (site-uri, subrețele, legături, servere etc ) și operațiunile asupra acestor obiecte; managementul obiectelor de conexiune: planificarea și inițierea replicării cu partenerii; activarea verificatorului de consistență a cunoștințelor; activați catalogul global, definiți o politică alternativă de interogare LDAP pentru controlerul de domeniu și activați memorarea în cache a grupului universal Tip: instalație MMC Locație: Pachetul adminpak msi pentru Windows și Windows Server Folosit în rețete: , , , , - , , - , , , , , , Utilizatori și computere Active Directory (Utilizatori și computere Active Directory, dsa msc) Scop: Vizualizați, creați și efectuați operațiuni pe utilizatori, grupuri, computere, departamente și alte obiecte asociate domeniului; crearea si salvarea cererilor de cautare a obiectelor; elevarea nivelului funcțional al domeniului, vizualizarea și transferul rolurilor FSMO; delegarea funcțiilor de conducere și multe altele Tip: instalație MMC Locație: pachet adminpak msi pentru Windows și Windows Server Folosit în rețete: , , - , , , - , - , - , , - , - , - , , , , Politica de securitate implicită pentru controlerul de domeniu (Politica de securitate pentru controlerul de domeniu, dcpol msc) Scop: Modificați setările obiectelor de politică de grup de securitate ale controlerului de domeniu Tip: instalație MMC Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: , , Aplicație Politica de securitate implicită a domeniului (Politica de securitate a domeniului, dompol msc) Scop: Modificați setările obiectelor de politică de grup Tip: instalație MMC Locație: Partiția /oSystemRoot%\System pe Windows și Windows Server Folosit în rețete: , DNS (dnsmgmt msc) Scop: Vizualizați și modificați configurația serverului DNS; vizualizați, creați, modificați zone și înregistrări de resurse; activați modul de înregistrare a erorilor; efectuarea de interogări de testare către DNS; repornirea serviciului DNS; permisiuni de editare și modificarea configurației secțiunilor aplicației Tip: instalație MMC Locație: pachet adminpak msi pentru Windows și Windows Server Folosit în rețete: - , - , Consola de gestionare a politicilor de grup (Consola de gestionare a politicilor de grup, gpmc msc) Scop: Efectuați aproape orice sarcină legată de obiectele politicii de grup Acest utilitar instalează multe scripturi care vă permit să efectuați operații pe GPO-uri din linia de comandă Rețetele sugerate folosesc următoarele scripturi: BackupGpo wsf, CopyGpo wsf, CreateGpo wsf, DeleteGpo wsf, DumpGpoInfo wsf, GetReports-ForGpo wsf, ImportGpo wsf, ListAIIGpos wsf, QueryBackupLocation, Gwposf, Restore și Set -GpoPermissions wsf Tip: instrument MMC Locație: http://www microsoft com/downloads/detaîls aspx?Famllyid=F E -D - E - - F - F ADFEB&displayiang=en Folosit în rețete: , - Editor de obiecte de politică de grup (Editor de obiecte de politică de grup, gpedit msc) Scop: Editarea setărilor obiectelor politicii de grup Tip: instalație MMC Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețetă: Set de politici rezultat (Politica rezultată, rsop msc) Scop: vizualizați politica rezultată (Resultant Set of Policy, RSoP) pentru utilizator și computer Lista de instrumente Tip: instalație MMC Locație: cheia %SystemRoot%\System în Windows Server Folosit în rețetă: Diagnosticare ACL (acldiag exe) Scop: Vizualizați lista de control al accesului (ACL) a obiectului, comparați valorile stocate în această listă cu valorile implicite care au fost stabilite în schemă; defini permisiunile de utilizator sau de grup; verificarea rezultatelor unei delegari facute cu Delegarea Control Wizard Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , Active Directory Load Balancer (adlb exe) Scop: Distribuirea sarcinii între obiectele de conexiune din cadrul aceluiași site Tip: un utilitar cu o interfață de linie de comandă Locație: Kit de resurse Windows Server Folosit în Rețetă: AD Prep (adprep exe) Scop: A pregăti un domeniu și o pădure Windows pentru o actualizare la Windows Server Tip: Echipa Locație: partiția \i de pe CD-ROM-ul Windows Server Folosit în rețete: , ADSI Edit (adsiedit msc) Scop: un editor Active Directory de uz general, folosit de obicei pentru a găsi, crea și gestiona obiecte într-o pădure Tip: instalație MMC Locație: Instrumente de asistență pentru Windows și Windows Server Utilizate în rețete: , , , - , , , , , , , , , , , , , , , , , , , , , , , , , - , Politica de audit (auditpol exe) Scop: Activarea și dezactivarea modului de auditare pentru un computer dat Tip: Un utilitar cu o interfață de linie de comandă Locație: Kit de resurse Windows Folosit în rețetă: Aplicație csvde (csvde exe) Scop: Import și export de obiecte folosind fișiere text (Valoare separată prin virgulă, format CSV) Tip: un utilitar cu o interfață de linie de comandă Locație: Partiția /oSystemRoot%\System pe Windows și Windows Server Folosit în rețete: , Restaurare implicită a politicii de grup (dcgpofix exe) Scop: Restabiliți setările implicite pentru politica de securitate a controlerului de domeniu și politica de securitate a domeniului Tip: un utilitar cu o interfață de linie de comandă Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețetă: DNSCmd (dnscmd exe) Scop: gestionarea configurației serverului DNS; îndeplinirea cererilor; crearea și modificarea zonelor și înregistrărilor de resurse; vizualizarea statisticilor serverului; activarea jurnalului de depanare și modificarea configurației secțiunilor aplicației Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: - , , - , , Diagnosticare controler de domeniu (dcdiag exe) Scop: Pentru a efectua o varietate de teste de diagnosticare pe un controler de domeniu Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows-Server Folosit în rețete: , , , , , DS ACL (dsacls exe) Scop: Vizualizați obiectele ACL Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , , , , , , DS Add (dsadd exe) Scop: Adăugați obiecte reprezentând computere, contacte, grupuri, departamente, utilizatori și cote Lista de instrumente Tip: un utilitar cu o interfață de linie de comandă Locație: cheie %SystemRoot%\System pe Windows Server Folosit în rețete: , , , , , , DS Get (dsgetexe) Scop: Vizualizați proprietățile computerului, contactului, subrețelei, grupului, OU, serverului, site-ului, utilizatorului, cotei și obiectelor de partiție Tip: un utilitar cu o interfață de linie de comandă Locație: cheie %SystemRoot%\System în Windows Server Folosit în rețete: - , - , , și , , DS Modifică (dsmodify exe) Scop: Modificați proprietățile computerului, contactului, subrețelei, grupului, OU, serverului, site-ului, utilizatorului, cotei și obiectelor de partiție Tip: Utilitar cu interfață de linie de comandă Locație: partiția %SystemRoot%\System pe Windows Server Folosit în rețete: , , , , , , - , , , , DS Move (dsmove exe) Scop: mutarea și redenumirea obiectelor Tip: un utilitar cu o interfață de linie de comandă Locație: partiția %SystemRoot%\System pe Windows Server Folosit în rețete: , , - , , - , , , - și Interogare DS (dsquery exe) Scop: Efectuarea de interogări împotriva obiectelor computer, contact, subrețea, grup, OU, server, site, utilizator, cotă și partiție; executarea de interogări universale la obiecte de orice tip Tip: un utilitar cu o interfață de linie de comandă Locație: partiția %SystemRoot%\System pe Windows Server Folosit în rețete: , , , , , , , , - , , , , , , , , , , , , - , , , , , , , Eliminare DS (dsrm exe) Scop: Eliminarea nodurilor frunzelor și a subarborilor Tip: un utilitar cu o interfață de linie de comandă Locație: cheie %SystemRoot%\System pe Windows Server Folosit în rețete: , , , Aplicație enumprop (enumprop exe) Scop: Vizualizați valorile atributelor obiectului Tip: un utilitar cu o interfață de linie de comandă Locație: Kit de resurse Windows Folosit în rețete: , , , , , , Instrument de verificare a politicii de grup (gpotool exe) Scop: Verificarea coerenței obiectelor de politică de grup situate pe diferite controlere de domeniu; vizualizarea proprietăților GPO, cum ar fi numele afișat, ora de creare și modificare, numărul versiunii, GUID, steaguri Tip: Utilitar cu interfață de linie de comandă Locație: Kit de resurse pentru Windows și Windows Server Folosit în rețetă: Rezultatele politicii de grup (gpresult exe) Scop: vizualizați politica rezultată (Resultant Set of Policy, RSoP) pentru utilizator și computer Tip: un utilitar cu o interfață de linie de comandă Locație: cheia %SystemRoot%\System în Windows Server Folosit în rețetă: Actualizează politica de grup (gpupdate exe) Scop: Aplicarea setărilor modificate ale unui obiect Politica de grup sau aplicarea tuturor setărilor acestui obiect, necesitând o repornire ulterioară sau deconectare a utilizatorului Tip: un utilitar cu o interfață de linie de comandă Locație: cheia %SystemRoot%\System în Windows Server Folosit în rețetă: Configurare IP (ipconfig exe) Scop: Solicitare, eliberare, actualizare a adresei IP; spălarea cache-ului DNS local; înregistrarea înregistrărilor de resurse în DNS Tip: un utilitar cu o interfață de linie de comandă Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețetă: Lista Kerberos (klistexe) Scop: vizualizați și eliminați biletele Kerberos Tip: un utilitar cu o interfață de linie de comandă Lista de instrumente Locație: Kit de resurse pentru Windows și Windows Server Folosit în rețetă: Tava Kerberos (kerbtray exe) Scop: vizualizați și eliminați biletele Kerberos Tip: Utilitar de interfață grafică cu utilizatorul Locație: Kit de resurse pentru Windows și Windows Server Folosit în rețetă: LDIFDE (ldifde exe) Scop: Import și export de obiecte în format LDIF Tip: un utilitar cu o interfață de linie de comandă Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: , , , , , - , , , , , , , , , , , , , , , , , și , , , , , , , , , LDP (idp exe) Scop: Editor universal și vizualizator de obiecte LDAP Tip: Utilitar de interfață grafică cu utilizatorul Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , , - , - E, , , , - , - , - , , , , , , , , , Arborele meu (movetree exe) Scop: Mutarea obiectelor într-un domeniu și între domenii Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețetă: netdom (netdom exe) Scop: Adăugarea unui computer la domeniu; redenumirea unui computer mutarea unui computer într-un alt domeniu; obținerea de informații despre computere, relații de încredere și proprietarii rolurilor FSMO în domeniu; eliminarea unui computer dintr-un domeniu; reinstalarea computerului, verificarea relațiilor de încredere și gestionarea acestora Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: - , - , , , , , , , Aplicație Tester de conectivitate la rețea (netdiag exe) Scop: Efectuați o varietate de teste pentru a diagnostica rețeaua Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețetă: NLTest (nltestexe) Scop: Interogarea, verificarea și reinstalarea canalului securizat al computerului; obținerea unei liste de controlere de domeniu pentru un anumit domeniu; caută un controler de domeniu; identificarea site-ului din care este membru clientul, afișarea informațiilor despre site-urile care sunt acoperite de sfera controlerului de domeniu; înregistrarea și anularea înregistrării înregistrărilor de resurse controler de domeniu; ieșire de date despre domeniul părinte; afișarea informațiilor despre relațiile de încredere; determinarea numărului de încercări de conectare procesate de un controler de domeniu dat; oprirea controlerului de domeniu Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: - , , - , , , , , - , - , Nslookup (nslookup exe) Scop: Căutați o înregistrare de resurse în DNS Tip: un utilitar cu o interfață de linie de comandă Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: , , , , Util NTDS (ntdsutil exe) Scop: Efectuarea sarcinilor de deservire a fișierelor de catalog, verificarea integrității și semanticii fișierului DIT, efectuarea recuperării soft și complete; vizualizați informații despre proprietarii de rol FSMO; gestionarea politicilor de interogare LDAP; căutarea și eliminarea SID-urilor duplicate; eliminarea metadatelor asociate cu un controler de domeniu eșuat; setarea parolei unui administrator care este membru al grupului de operatori de rezervă pentru a lucra în modul de restaurare a serviciului de director Tip: Utilitar cu interfață de linie de comandă Locație: Partiția /oSystemRoot%\System pe Windows și Windows Server Folosit în rețete: , , , , , , , , , , - , , , , , , Lista de instrumente Generator OID (oidgen exe) Scop: generează un identificator de obiect pentru a fi utilizat atunci când se creează o nouă clasă sau un atribut în schemă Tip: un utilitar cu o interfață de linie de comandă Locație: Kit de resurse Windows Folosit în rețetă: Redirecționează computerele implicite (redircmp exe) Scop: Schimbă locația containerului implicit al computerelor în arborele de directoare Tip: un utilitar cu o interfață de linie de comandă Locație: cheia %SystemRoot%\System în Windows Server Folosit în rețete: Redirecționați utilizatorii impliciti (redirusr exe) Scop: Schimbă locația containerului implicit al utilizatorilor în arborele de directoare Tip: un utilitar cu o interfață de linie de comandă Locație: cheia %SystemRoot%\System în Windows Server Folosit în rețetă: Reg (reg exe) Scop: Interogați, adăugați, ștergeți, copiați, salvați, restaurați, încărcați, încărcați, comparați, exportați și importați setările și valorile registrului Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , , , , , , , , , , , , , , , Editor de registru (regeditexe) Scop: vizualizați, interogați, adăugați, ștergeți, redenumiți, exportați, importați și copiați setările de registru Tip: Utilitar de interfață grafică cu utilizatorul Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețete: , , , , , , , , - , , , , , Aplicație Redenumiți domeniul (rendom exe) Scop: Redenumiți un domeniu (acest utilitar ar trebui utilizat numai dacă nivelul funcțional al pădurii este Windows Server ) Tip: un utilitar cu o interfață de linie de comandă Locație: http://www microsoft com/windowsserver /downloads/domalnrenBfne mspx Folosit în rețetă: Diagnosticare replicare (repadmin exe) Scop: Afișarea informațiilor despre baza site-ului și topologia de replicare pentru site; rulați Knowledge Consistency Checker; replicare forțată; replicarea unui singur obiect; inițierea procesului de sincronizare a contextului de denumire; vizualizați starea de replicare pentru mai multe controlere de domeniu; compararea a două controlere de domeniu; vizualizarea metadatelor obiectului; obţinerea vectorului de relevanţă şi îndeplinirea multor alte funcţii de management al replicării Tip: un utilitar cu o interfață de linie de comandă Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , , , , , - , , , Monitor de replicare (replmon exe) Scop: Vizualizați starea de replicare pentru un context de denumire a unui controler de domeniu; replicare forțată; forțați sincronizarea contextului denumirii; obținerea actualului USN; căutarea domeniului cu care sunt asociate erorile de replicare; primiți un raport detaliat de stare și multe altele Tip: Utilitar de interfață grafică cu utilizatorul Locație: Instrumente de asistență pentru Windows și Windows Server Folosit în rețete: , SecEdit (seceditexe) Scop: Actualizarea setărilor politicii de grup: analiza, configurarea, exportul și verificarea setărilor de securitate Tip: un utilitar cu o interfață de linie de comandă Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețetă: Serviciu de timp (w tm exe) Scop: Configurare și monitorizare Windows Time Service Tip: un utilitar cu o interfață de linie de comandă Lista de instrumente Locație: Cheia %SystemRoot%\System în Windows și Windows Server Folosit în rețetă: Deblocare (unlock exe) Scop: Căutați utilizatori blocați și deblocați-i Tip: un utilitar cu o interfață de linie de comandă Locație: http://www joeware neVwin /zips/Unlock zip Folosit în rețetă: Generator UUID (uuidgen exe) Scop: Generarea de identificatori UUID/GUID utilizați la crearea de noi clase și atribute Tip: un utilitar cu o interfață de linie de comandă Locație: Windows Platform SDK Folosit în rețetă: WinNT (winnt exe) Scop: Actualizarea sistemului la Windows sau Windows Server , verificarea posibilității de upgrade Tip: Master Locație: partiția \i de pe CD-ROM-urile Windows și Windows Server Folosit în rețetă: Index alfabetic A Intrarea ACE ACL ACL, ACL Director activ - arhivarea datelor, - recuperare neautorizat, - arbore de informații, , - testare cu VMWare, Schema Active Directory, snap-in ADLB, utilitate, adprep, echipa, , ADSI, Interfață Active Directory, Apache, integrare Active Directory, AVA, afirmație atribut-valoare, ÎN BIND, serviciu de denumire, CU classSchema, obiect, , computer, obiect, , Calculatoare, container, conexiune, obiect, crossRef, obiect, , CSV, format de fișier, D dcpromo, program, DDNS, protocol, Implicit-First-Site-Nume, obiect, Obiecte șterse, container, Server DHCP, autorizare, DIT, arbore de informații, DLT, Serviciu de urmărire a legăturilor distribuite, DN, nume distinctiv, DNS, Serviciu de nume de domeniu, - goliți memoria cache, - parametrii serverului, - colectarea gunoiului, - testare, dnsNode, obiect, dnsZone, container, Controlere de domeniu, subdiviziune, domainDNS, obiect, , DSML, limbaj, E ESE Extended Storage Engine G GPO, GPO, grup, obiect, GUID, identificator unic la nivel global, , , eu inctOrgPcrson, obiect, , ITG, Generator de topologie intersite, J Java, Active Directory Access, Index alfabetic LA KCC, Knowledge Consistency Checker, Kerberos, protocol, , , - utilizați cu UDP, - setare, - vizualizarea și ștergerea biletelor, - setarea parolei utilizatorului, L Browser/Editor LDAP, program, LDAP, protocol, , - acces anonim, - interzicerea cererilor din partea clientilor, - cerere - scump, - ineficient, - politica de solicitare, - ștergerea recursivă a obiectelor, - obiect de control, , - Interogare în domeniul atributului, - Cross Domain Moѵe, - Retur obiecte șterse, -STATS, Ștergerea subarborelui, - critic, - setarea parolei utilizatorului, - criptare și semnături digitale, LDIF, format de fișier, , linkTrackOMTEntry, obiect, HnkTrackVolEntry, obiect, Listă Acces obiect, mod, m MicrosoftDNS, container, MMC, consolă, MS KB, Microsoft Knowledge Base, Documentația MSDN pentru dezvoltatori, msDS-QuotaContainer, obiect N NetBIOS, protocol, netmon, utilitate, Cote NTDS, container, Setări NTDS (nTDSDSA), obiect, , , , , , Setări site NTDS, obiect, O OID, identificator de obiect, organizationaiUnit, obiect, OU, unitate organizatorică, P pagedResultsControl, obiect LDAP, Partitii, container, perfmon, program - jurnalele de urmărire, - Monitorizare Active Directory, Perl, acces Active Directory, Python, acces Active Directory, Q cota, obiect, , R RDN, Distingere relativă nume, resolver, proces, RID, cod de securitate relativ, RootDSE, obiect, S SAM, numele contului, Samba, integrare Active Directory, Schema, container, server, obiect, , SID, cod de securitate, site, obiect, , siteLink, obiect, , Container site-uri, , SSL, protocol, , subrețea, obiect, , , subschemă, obiect, Sistem, container, System DirectoryServiccs, interfață, Index alfabetic TLS, protocol, , transport, obiect, trustcdDomain, obiect, TTL, durata de viață a obiectului, Și UDP, protocol, UPN, UPN, utilizator, obiect, Utilizatori, container, USN, numărul secvenței de actualizare, , V VMWare, sistem, W WINS, serviciu, WKGUID, id, WMI, infrastructură de management Windows , WMIPolicy, container, WQL, limbaj de interogare, A atribut - calculat, - dezactivare (oprire), add/remove from global catalog, - indexare, , - copiați la copierea unui cont de utilizator, - optional, - nereplicabil, - obligatoriu, ' - anulare, - căutare folosind algoritmul ANR, - atribute de vizualizare, - asociat cu un alt atribut, - instalare pentru mai mulți utilizatori, audit de acces la director, autentificare - legare rapidă, - legatura paralela, D ÎN vector de actualitate, recuperare - director - autorizat, - neautorizat, - obiect sau subarbore, timp - durata de viață a obiectului, - locuri de înmormântare, , G catalogul global - activare dezactivare, , - dezactivarea cerinței disponibilitate, - obținerea unei liste de servere, grup , - Utilizatori de domeniu, - proprietar, - adăugarea și eliminarea membrilor, - domeniul de aplicare, , , - principal, , , - mutare, - vezi lista membrilor, , - creație, -staniu, , , - managementul membrilor, d descriptor de securitate, încredere, - activați filtrarea SID, - spre sfera Kerberos, - păduri, creație, - reinstalați, - cec, - vedere, - creație, - prescurtat, Index alfabetic încredere (continuare) - tranzitiv, - îndepărtare, domeniu, - nume NetBIOS, - anatomie, - schimbarea modului de operare, - redenumiți, - reinstalarea încrederii, - Upgrade la Windows Server , - pregatire pentru transfer in modul Windows Server , , - căutarea obiectelor, , - căutați SID-uri duplicat, - verificarea pregătirii pentru transfer în modul Windows Server , - verificare de încredere, - vedere structura, - creație, - construirea încrederii, , - lista relațiilor de încredere, - referințe descriptoare de securitate, - îndepărtare, , - înlăturarea încrederii, înregistrarea resurselor - căutare, - înregistrare controler de domeniu, , - creație, - static, - șterge, înregistrarea contului - calculator, - mutare, - reinstalați, - căutarea unui sistem de operare dat, - căutare pentru inactiv, - creație, , - utilizator, - blocare, - activați și dezactivați, - numele afișat, - schimbarea numelui de utilizator, intrare în cont (continuare) - copie, - grupa principală, - parametri, - parola, - , - mutarea într-un alt container - căutarea înregistrărilor blocate, - căutarea intrărilor dezactivate, - politici de blocare, - deblocare, - creație, , - data expirării, , - apartenența la grupuri, zona , - delegarea controlului, - suplimentar - integrat cu Active Directory, - mutare, - transformare, - căutare inversă, - principal, - obținerea unei liste de zone, - căutare directă ȘI Nume - atribut - ieșire LDAP, , - distinctiv relativ, , - grupuri - SAM, - distinctiv relativ, - clasa - ieșire LDAP, - distinctiv relativ, - calculator - DNS, -NetBIOS, - distinctiv relativ, - obiect - ieșire, - distinctiv relativ, - utilizator - SAM, UPN - ieșire, Index alfabetic LA canal, securizat, director, global - adăugarea și eliminarea atributelor, - căutarea obiectelor, cotă - obiect îngropat, , - piesa folosita, - pentru a crea obiecte, - definitie, - , clasa , - dezactivare (dezactivat), - setări de securitate implicite, - anulare, - atribute de vizualizare, - tip, cod de securitate, calculator - redenumiți, - alăturarea unui domeniu, , - testarea unui canal securizat, container, - Calculatoare, - Obiecte șterse, - dnsZone, -MicrosoftDNS, - Cote NTDS, - Paravane, - Schema, - Sites, , - Sistem, - Utilizatori, - WMIPolicy, - politica de grup, - obiecte computer implicite, , - șterge, context - domeniu, - configurații, - scheme, controler de domeniu, - activați și dezactivați catalogul global, , - utilizarea unei surse externe de timp, - determinarea numărului de încercări de conectare, - redenumiți, - mutarea pe alt site, - caută cel mai apropiat, - căutare pe site, - retrogradare, , , , - servicii prestate, - înregistrarea înregistrărilor resurselor, , - creație, , , , - îndepărtare manuală, - ștergerea înregistrărilor de resurse, schema cache, , memorarea în cache a informațiilor de membru universal, L pădure, - Sufixul UPN, - anatomie, - Upgrade la Windows Server , - creație, - construirea unui trust forestier, - lista de domenii, - îndepărtare, localizator controler domeniu, , m Expertul de delegare a controlului - utilizare, - configurare, metadate obiect, pod link site, n actualizați numărul de serie, Index alfabetic DESPRE obiect, conexiune, - ClassSchema, , -calculator, , - crossRef, , - dnsNode, - dnsZone, - domainDNS, , - grup, - inetOrgPerson, , - Manager LDAP, , -linkTrackOMTEntry, -linkTrackVolEntry, - msDS-QuotaContainer, -Setări NTDS (nTDSDSA), , , , - Setări site NTDS (nTDSSiteSettings), - Unitatea organizatorică, pagedResultsControl, LDAP,' - cotă, - RootDSE, - server, , - site, , - sitelink, , subrețea, , , - subschemă, - transport, trustedDomain, - utilizator, - restaurat, - durata de viață, - ora creării și ultima actualizare, - politica de grup, - schimbare, - import, - copie, - mostenire, - dezactivați setările, - căutare, - vedere, - backup, , - comunicatii, , - creație, obiect (continuare) - scenarii, - conectarea la o unitate, - șterge, - conducere, - instalarea aplicațiilor, - Filtrare WMI, , - filtrare de grup, - dinamică - durata de viață, - actualizare, - creație, - îngropat, , , - restaurare, - căutare, - zombi, - modificarea valorilor atribute, , - import din fișierul CSV, - import din fișierul LDIF, - metadate, - redenumește, - mutare, , - căutare în catalogul global, - cautare in domeniu, - vizualizați valorile atributelor, - permisiuni de vizualizare, - creație, - ștergere, - export în fișier CSV, - export într-un fișier LDIF, MMC snap-in, relație de încredere, P Parolă de utilizator - sarcina, , , - interdicția de modificare, - schimb, - perioada de valabilitate, , cap de pod, divizie, , - Domain Controller, - delegarea controlului, - determinarea numărului de obiecte, - - mutare, Index alfabetic diviziune (continuare) - obiecte în mișcare, - vizualizați conținutul, - obligatoriu la GPO, - creație, , - ștergere, - ștergerea obiectelor, subrețea, căutare - prin valorile atributelor compuse, - folosind un filtru pe biți, politică - grup, restaurare, - rezultat, emulare, , utilizator - proprietatea asupra obiectelor, - ultima conectare, , - grupa principală, regulă de potrivire, spațiu de nume, înregistrare - Kerberos, - diagnostic, - interogări LDAP ineficiente și costisitoare, - Procesare GPO, - programe dcpromo, - Procesul NetLogon, - Servere DNS, - ștergerea obiectelor îngropate, profil de utilizator , parametri, R capitol - cereri, , "- delegația conducerii, - domeniul de legătură de descriptor de securitate, - întârzieri de replicare, - căutare, , - verificarea validarii instalații, - server de replicare, , , - creație, - șterge, sectiune (continuare) - domeniu, - configurații, - scheme, permisiunea de scriere proprietăți, program de disponibilitate a link-ului site-ului, Editor ACL, configurare, modul de recuperare a serviciului cataloage, , , replicare, - intrasit, - conflict, - intersite, - metadatele obiectului, - perioada, , - forțat, - probleme, - vizualizați modificările nereplicate, - vezi detalii, - jurnalizare extinsă, - compresia traficului, - sincronizarea controlerelor de domeniu, - consistență puternică/slabă , rolul FSMO - programare, - transmisie, - proprietarul operatiunilor, , G CU site, - obținerea unei liste de controlere de domeniu, , - obținerea unei liste de servere de catalog globale, , colectarea gunoiului, robie, -WKGUID, - fără server, , - rapid, , - clase personalizate dinamice, - paralel, Index alfabetic link site, - pod, - cost, - tranzitivitate, Server - cap de pod, - promovare la controler de domeniu, , , , lista de control acces, - Schimbare - pentru clasă, - pentru obiect, - reinstalați, - vedere, - comparație cu schema, - element, statistician - Interogări LDAP, - Performanță server DNS, cost link (replicare), , sufix de nume computer, tărâm Kerberos, creare de încredere, schemă, - cache, - modificarea permisiunii, - extindere, - adăugați atributul, - adăugarea unei clase, - documentație, tip de clasă, topologie - replicare, topologie (continuare) - rețele, tranzitivitate de legături site-uri, F fişier bază de date Active Directory (DIT), - restaurare, - defragmentare, , - reparare, - determinarea cantității de spațiu liber, - dimensionare, - mutare, - verificați tse awn și semantică, flag pe biți, X maestru -RID, - denumirea domeniului, - infrastructură, - operațiuni, , - scheme, - Emulator PDC, Valoarea hash LAN Manager, SH model de politică de grup, uh Emulator PDC, , Robbie Allen Director activ Colecție de rețete Pentru profesioniști Traducere Editor Corector Editor tehnic Artist O Zdir I Karpyshenko I Karpyshenko O Zap chatkna N Birzhakov ID-ul licenței \'° din Semnat pentru publicare la Format X / Conv p l , Tiraj zkz Comanda He SRL "Mzdagel grup VN V" Certificat de înscriere în Registrul de Stat seria D K Nr din SRL "Peter Print" , Sankt-Psierburg, st Multumesc, L secolul Beneficiu fiscal Clasificator de produse integral rusesc OK - , volumul ; - literatură educațională Tipărit din dianosi j ivon gata făcut în Întreprinderea Unitară Federală de Stat "Printing Yard" numită după A M Gorki de la Ministerul Federației Ruse pentru Presă, Televiziune și Radiodifuziune și Comunicații de Masă , Sankt Petersburg, pr Chkalovsky, EDITURA REZERVĂ SPECIALISTI AFACERI! REPREZENTAȚII EDITURII "PITER" oferă o gamă exclusivă de literatură informatică, medicală, psihologică, economică și populară RUSIA Moscova m "Kaluzhskaya", st Butlerova, , birou , ; tel /fax ( ) - - ; e-mail: sales@piter msk ru stația de metrou Sankt Petersburg "Vyborgskaya", pr B Sampsonievsky, a; tel ( ) - , fax ( ) - - ; e-mail: sales@piter com str Voronezh ianuarie, d ; tel ( ) - - ; e-mail: piter-vrn@vmail ru; piterv@comch ru str Ekaterinburg martie, d ; tel /fax ( ) - - , - - ; e-mail: p ter-ural@r ru Nizhny Novgorod st Premudrov, d a; tel ( ) - - , - - ; e-mail: peter@infonet nnov ru str Novosibirsk Nemirovich-Danchenko, , birou ; tel/fax ( ) - - - - - - - - ; e-mail: peter-sib@risp ru str Rostov-pe-Don Kalitvinskaya, d v; tel ( ) - - , ( ) - - ; e-mail: jupiter@rost ru str Samara Novosadovaya, d ; tel ( ) - - ; e-mail: piter-volga@sama ru UCRAINA St Harkiv Suzdalskiye Ryads, , birou - , or ( ) - - , - - ; e-mail: piter@tender kharkov ua Kiev pr Cazacii Roșii, , bldg ; tel /fax ( ) - - , - - ; e-mail: office@piter-press kiev ua BIELORUSIA Minsk st Bobruiskaya d , , birou ; tel /fax ( ) - - ; e-mail: peter@mail by MOLDOVA Chișinău "Auratip-Piter"; Sf Mitropolitul Varlaam, , birou ; tel ( ) - - , fax ( ) - - ; e-mail: lili@auratip mldnet com ZW Cautam parteneri sau intermediari straini cu acces pe piata externa Telefon de contact: ( ) - - E-mail: grigorjan@piter com Editura "Piter" invită autorii să coopereze Vă rugăm să sunați: St Petersburg - ( ) - - , Moscova - ( ) - - Comandă cărți pentru universități și biblioteci: ( ) - - Oferta speciala - e-mail: kozin@piter com O REILLY Director activ Culegere de rețete pentru Windows Server și Windows PENTRU PROFESIONISTI Cartea oferă soluții pentru o gamă largă de sarcini legate de instalarea, întreținerea și operarea Active Directory Autorul său, Robbie Allen, împărtășește cititorilor experiența sa neprețuită dobândită de-a lungul anilor de utilizare a acestui produs Conține soluții la sute de probleme diferite - de la scripturi pentru adăugarea utilizatorilor la serviciul de director la sfaturi pentru identificarea și rezolvarea erorilor de replicare Autorul oferă mai multe opțiuni pentru rezolvarea aceleiași probleme: utilizarea unei interfețe grafice de utilizator, a unei interfețe de linie de comandă și scripturi în VBScript și Perl Sarcinile sunt împărțite în categorii, cum ar fi lucrul cu conturi de utilizator, grupuri și computere, precum și cu păduri, trusturi, cataloage globale, unități organizaționale, obiecte de politică de grup, schema Active Directory Problemele legate de backup, replicare, furnizare sunt acoperite în detaliu securitate, integrare cu cele mai importante componente ale sistemului, în special cu serviciul de nume de domeniu DNS, folosind protocolul de autentificare Kerberos Într-un cuvânt, cartea prezintă soluții la o serie de probleme care adesea par insolubile chiar și celor mai experimentați specialiști ^PPTER Seria: pentru profesionisti Nivel de utilizator: Experimentat/Expert Vizitați site-ul O'Reilly: www oreilly com 